Photo : avec l’aimable autorisation de Rob Labbé
Il est non seulement important pour votre exploitation de créer un programme de cybersécurité résilient, mais tout aussi primordial de vous assurer que votre plan de communication en matière de cyberrésilience est solide. Voici deux domaines dans lesquels vos communications peuvent avoir des répercussions sur la résilience globale de votre société : les communications proactives concernant les programmes de sécurité, et les communications durant un incident de cybersécurité. La plupart des sociétés minières ne se sont jamais particulièrement intéressées à la sécurité. Toutefois, une évolution se fait sentir. De nouvelles lois de l’U.S. Securities and Exchange Commission (SEC, la Commission des valeurs mobilières des États-Unis) exigent des sociétés cotées en Bourse aux États-Unis qu’elles communiquent les informations importantes concernant leurs programmes de cybersécurité, et qu’en cas d’incident matériel, elles prévoient sa divulgation. Même pour les organisations non sujettes aux nouvelles règles de la SEC, les investisseurs commenceront à attendre de toutes les sociétés qu’elles assurent ce niveau de divulgation, et ces divulgations commenceront à prendre en compte les décisions d’investissement.
Toutefois, au-delà des investisseurs et de la divulgation, une communication efficace relative à un incident de cybersécurité peut avoir une incidence majeure sur l’incident en lui-même, ainsi que sur votre société et l’industrie de manière générale. Les cybercriminels tablent sur la menace de la honte et de l’embarras pour soutirer des paiements de rançon auprès des sociétés. Ils choisissent scrupuleusement le moment de leur menace de divulgation afin d’avoir l’impact maximal. Ils agiront par exemple immédiatement avant ou après les périodes de déclaration trimestrielle, autour d’annonces importantes, de décisions réglementaires ou d’autres points potentiellement vulnérables. En communiquant un incident de manière proactive, vous ôtez ce pouvoir au pirate informatique, ce qui permet de vous assurer que la communication se fait selon vos propres conditions, avec votre message et sous votre contrôle. Le choix n’est plus de divulguer ou de ne pas divulguer. Il s’agit désormais de savoir qui divulguera - vous, ou votre cyber-agresseur ?
Bonnes pratiques pour le dépôt de documents d’information de routine
Concernant les exigences de communication de routine de la SEC, l’objectif est de s’assurer que vos investisseurs sont informés des points suivants : (1) les risques de cybersécurité pour votre organisation ; (2) les processus de gestion des risques que vous avez déployés pour les gérer ; et (3) le niveau d’expertise dans votre conseil d’administration (gouvernance) et de direction (exécution) afin que les investisseurs puissent évaluer la compétence de votre organisation à gérer ces risques.
Voici les choses à faire et à ne pas faire pour atteindre ces trois objectifs :
- Vos risques de cybersécurité :
À FAIRE : déterminer dans quelle mesure les risques de cybersécurité sont intégrés dans le système de gestion des risques de votre entreprise.
À FAIRE : identifier votre affiliation à une organisation dirigée par ses membres telle que le Mining and Metals-Information Sharing and Analysis Centre (MM-ISAC, le centre d’analyse du partage d’information sur les mines et les métaux) comme une partie intégrante de ce processus de gestion des risques, car l’information et le partage des risques de l’industrie sont essentiels pour une gestion efficace des risques.
À FAIRE : identifier les grandes catégories et la portée des estimations, des évaluations, des simulations et d’autres travaux exécutés par des tiers dans votre organisation.
À NE PAS FAIRE : identifier toute organisation dans le cadre de votre processus de gestion des risques sauf si vous avez avec elle une affiliation, un contrat ou tout autre accord. Il ne suffit pas de « prévoir de les appeler » s’il y a un problème.
- Vos processus de gestion des risques :
À FAIRE : décrire une image précise des risques pouvant découler d’incidents de cybersécurité.
À FAIRE : réfléchir à l’impact des risques d’incidents de cybersécurité à l’avenir, mais aussi inclure les améliorations effectuées dans vos contrôles et l’environnement qui pourraient contribuer à réduire la probabilité ou l’impact de ces risques.
À NE PAS FAIRE : identifier tous les impacts comme « impossibles ». Des phrases telles que « les agresseurs ne peuvent pas avoir d’impact sur les systèmes de production dans nos exploitations » vous attireront des problèmes si une attaque venait à se produire.
- Le niveau d’expertise du conseil d’administration et de direction :
À FAIRE : identifier l’expertise en matière de cybersécurité de votre conseil et/ou du comité qui communique des informations sur ces risques.
À FAIRE : révéler le type et la fréquence des communications au conseil.
À FAIRE : donner des informations sur tous les conseillers externes qui sont engagés par le conseil pour des questions de cybersécurité si le conseil ne dispose pas de l’expertise suffisante.
À NE PAS FAIRE : discuter de rapports qui sont incomplets ou n’ont pas encore été élaborés. Une fois de plus, ne divulguez ce que vous faites qu’au moment de l’élaboration du rapport.
À FAIRE : décrire le rôle de votre responsable de la sécurité des systèmes d’information (RSSI) ou autre agent de la sécurité, sa/leurs relation(s) avec la divulgation et, s’ils ne sont pas membres de l’équipe de direction, la manière dont l’information est relayée au reste de la direction.
À FAIRE : décrire la composition et la portée de votre comité de gestion de la sécurité de l’information. Qui fait partie de ce comité, quel est son domaine de compétence et son autorité ?
À NE PAS FAIRE : exagérer l’influence du responsable de la sécurité de votre organisation. Supposez que votre responsable de la sécurité travaille sous l’autorité d’un directeur ou d’une directrice, qui travaille lui ou elle-même sous l’autorité d’un RSSI qui fait partie de votre équipe de direction, et que l’équipe de direction n’entend jamais rien de sa bouche directement. Dans ce cas, votre communication doit refléter la relation qu’il existe entre la divulgation et la communication.
Bonnes pratiques pour la divulgation d’un incident
Si les attentes de la SEC ou d’autres autorités de réglementation concernent la divulgation d’incidents « matériels », la définition de « matériel » est subjective. Un conseil que je donne souvent aux équipes de sécurité est que, si un incident est suffisamment sérieux pour en informer votre directeur ou directrice général(e), la direction générale et/ou le conseil d’administration, il est suffisamment important de le communiquer. Mieux vaut pécher par excès de surdivulgation. Si vous déclarez un incident qui entraîne un mouvement du cours de votre action, il était, par définition, matériel et devait être divulgué. Si vous le déclarez et que le cours de votre action reste inchangé, la surcommunication n’a pas de conséquence.
L’autre élément à prendre en compte concerne la valeur d’une divulgation rapide et complète de votre intervention en cas d’incident. La majeure partie de l’impact des cyber-agresseurs (surtout les opérateurs de rançongiciel) est leur capacité à « dénoncer et blâmer » les organisations victimes à un moment et dans un lieu qu’ils choisissent. Ceci pourrait étendre la divulgation aux organismes de réglementation. Dans un certain nombre de cas, un agresseur a communiqué un incident à la SEC ou à d’autres organismes de réglementation, lorsque l’organisation victime de l’attaque ne le fait pas. En divulguant en amont l’incident, vous vous appropriez ce pouvoir, contrôlez le récit et réduisez le stress sur l’équipe de direction et d’intervention.
En divulguant l’information et en contrôlant le récit, vous pouvez également « baisser le son » et éviter une communication aléatoire et chaotique. En informant de manière proactive toutes les parties prenantes, le temps limité dont dispose la direction de votre organisation ainsi que sa capacité cognitive restent axés sur les choses importantes, à savoir résoudre l’incident et préserver la résilience opérationnelle, ne pas répondre à des questions et des demandes aléatoires de la part des organismes de réglementation, des employés, des actionnaires et d’autres parties prenantes.
Conseils clés pour prendre l’initiative de divulguer des informations relatives à l’incident :
À FAIRE : élaborer des communiqués de presse et des modèles réglementaires en amont afin de faciliter la gestion du cycle de communication.
À FAIRE : garantir la cohérence entre toutes les déclarations. Les communiqués de presse et les divulgations doivent correspondre.
À FAIRE : communiquer dès que possible et envoyer des mises à jour à mesure que la situation évolue. Il est normal de ne pas disposer de toutes les informations dès le départ.
À FAIRE : refléter de manière précise les répercussions connues sur l’entreprise.
À NE PAS FAIRE : spéculer sur les impacts avant qu’ils ne soient connus. Des déclarations telles que « Nous ne pensons pas que les coordonnées et les informations de nos clients sont affectées par l’attaque », faites au début de l’enquête, vous obligeront à revenir vers eux ultérieurement.
À NE PAS FAIRE : donner des informations techniques non pertinentes aux investisseurs.
Un changement positif
En bref, les nouvelles exigences de la SEC en matière de divulgation représentent un changement du statu quo pour de nombreuses organisations minières. Toutefois, il s’agit selon moi d’un changement positif pour notre industrie. D’une part, cela améliorera la transparence pour la communauté d’investisseurs. D’autre part, si la mise en œuvre est réussie, cela réduira l’influence des cyber-agresseurs sur les organisations.
Si votre conseil d’administration ou votre équipe de direction n’a aucune expertise en matière de cybersécurité, ils peuvent faire appel à un service de RSSI à temps partiel par l’intermédiaire d’une association industrielle telle que le MM-ISAC ou d’un service commercial.
Indépendamment de la taille de votre organisation, les investisseurs et les organismes de réglementation s’attendent à une divulgation claire des risques de cybersécurité et de la manière dont les gère la société. Ils attendent aussi que ce risque soit gouverné au plus haut niveau de l’organisation. Au-delà, une communication claire et proactive atténuera en partie l’impact d’un incident de cybersécurité sur la réputation et les finances. La divulgation empêchera l’agresseur de soutirer des fonds ou autres à l’organisation victime, et réduira le stress et la distraction des équipes d’intervention en cas d’incident de cybersécurité et de continuité des activités.