Qu'est-ce que CIRCIA et comment cette loi sur la cybersécurité vous affecte-t-elle ?

Si vous êtes victime d'un vol qualifié, le signaler à la police peut vous apporter l'aide dont vous avez besoin. Ils ont les ressources nécessaires pour appréhender les personnes qui vous ont attaqué et vous protéger des vols ultérieurs.

Une nouvelle loi américaine sur la cybersécurité appelée CIRCIA promet d'offrir l'aide dont vous avez besoin après avoir subi une cybermenace ou une attaque. Pour en tirer le meilleur parti, apprenez-en plus sur CIRCIA, ses exigences et comment vous pouvez en bénéficier.

Qu'est-ce que CIRCIA?

Le Loi sur la déclaration des incidents cybernétiques pour les infrastructures critiques (CIRCIA) est une loi fédérale obligeant les «entités couvertes» qui traitent des infrastructures critiques à signaler les cyberincidents à la Cybersecurity and Infrastructure Security Agency (CISA).

Si vous rencontrez une cyberattaque, vous voudrez peut-être partager votre expérience avec votre équipe de sécurité ou toute autre personne qui peut aider à empêcher qu'elle ne se reproduise. Jusqu'à récemment, le partage de telles informations avec une agence gouvernementale était facultatif. CIRCIA oblige désormais les organisations et les responsables de la sécurité de l'information (CISO) à signaler les cyberincidents à CISA pour un cyberenvironnement plus sécurisé.

Promulguée par le président Joe Biden en 2022, la CIRCIA stipule que vous devez signaler tous les cyberincidents au plus tard 72 heures après en avoir pris connaissance. Devrais-tu payer une rançon aux agresseurs, vous devez le signaler dans les 24 heures.

Qu'est-ce que CIRCIA considère comme un cyberincident?

Avant de faire un rapport à la CISA, vous devez vous assurer qu'il s'agit d'un incident cybernétique. Dans ce contexte, un cyberincident fait référence à un acte illégal qui compromet le système d'une entité couverte. Le compromis pourrait prendre la forme d'une violation de données, d'un vol, d'une exposition, etc.

Mais que signifient exactement « entités couvertes »? Ce sont les organisations sur Liste CISA des secteurs d'infrastructures critiques désignés, qui comprend les communications, les services financiers, les soins de santé et la santé publique.

Quelles sont les exigences pour signaler des incidents sous CIRCIA?

En tant que nouvelle loi, CIRCIA reprend des idées d'autres lois sur la cybersécurité comme la Loi de 2015 sur le partage d'informations sur la cybersécurité et le Loi sur la sécurité intérieure de 2002 formuler sa politique. Les exigences relatives au signalement des incidents cybernétiques sont les suivantes.

Incident cybernétique couvert

Tout incident que vous signalez dans le cadre de CIRCIA doit être un « incident cybernétique couvert ». Cela signifie une attaque importante sur le réseau ou le système d'une organisation ou d'un organisme qui se trouve dans le secteur des infrastructures critiques.

Incident cybernétique substantiel

Un incident est considéré comme un cyberincident important lorsqu'il a un impact substantiel sur l'intégrité, la confidentialité, la résilience et la sécurité du système d'une entité couverte. Il est également important lorsqu'il perturbe leurs opérations, leur réseau ou leur système.

Malveillance

La CISA souligne qu'un incident peut être signalé lorsqu'il a été exécuté par l'acteur avec une intention malveillante. Les cyberincidents commis de bonne foi comme piratage éthique pour déterminer les conditions du réseau ou empêcher une intrusion ne sont pas éligibles.

Délai

CIRCIA exige qu'une entité couverte signale un cyberincident dans les 74 heures suivant le moment où elle « croit raisonnablement » qu'un tel incident s'est produit sur son système. De même, ils doivent signaler tout paiement de ransomware qu'ils effectuent dans les 24 heures.

Si vous contactez CISA, votre rapport doit contenir certaines informations clés sur le cyberincident afin qu'ils puissent vous offrir le plus d'assistance possible. Répondre aux questions suivantes vous guidera dans la fourniture des informations nécessaires.

1. Où l'incident s'est-il produit?
2. Quand l'incident s'est-il produit?
3. Quelle est la nature de l'incident?
4. Quel impact l'incident a-t-il eu sur vos opérations?
5. Quelles vulnérabilités l'incident a-t-il exploitées ou aggravées?
6. Quelles techniques l'acteur a-t-il déployées pour l'incident?
7. Combien de systèmes ou de personnes ont été touchés?
8. Avez-vous informé quelqu'un d'autre de l'incident?
9. A quel secteur appartient votre organisation?
10. Comment CISA peut-elle vous joindre pour la correspondance?

CISA déclare que tous les rapports qu'elle reçoit sont privés, confidentiels et recevables.

Qui est concerné par CIRCIA?

CIRCIA n'affecte que les entités couvertes. Comme mentionné précédemment, les entités couvertes sont des organisations ou des entreprises dans les secteurs des infrastructures critiques, en particulier les 16 industries suivantes :

• Chimique
• Installations commerciales
• Communication
• Fabrication critique
• Barrages
• Base industrielle de la défense
• Services d'urgence
• Énergie
• Services financiers
• Alimentation et agriculture
• Installations gouvernementales
• Soins de santé et santé publique
• Informatique
• Réacteurs nucléaires, matériaux et déchets
• Systèmes de transport
• Systèmes d'eau et d'eaux usées

Comment signalez-vous les incidents cybernétiques sous CIRCIA?

Si vous êtes victime d'un cyberincident, vous pouvez le signaler à CISA en remplissant un formulaire de rapport d'incident désigné. Les différentes sections du formulaire contiennent des informations pertinentes sur l'incident.

Alternativement, si vous n'avez pas encore rempli le formulaire, vous pouvez faire votre rapport par e-mail en envoyant les détails de l'incident à [email protected].

Comment pouvez-vous bénéficier de CIRCIA?

Surmonter la cybersécurité est un effort collectif. L'objectif de CIRCIA est de créer un cadre de cybersécurité plus sécurisé à travers les États-Unis en aidant les organisations à lutter contre les cybermenaces et les attaques. Il vous offre les avantages suivants.

Conformité aux normes réglementaires

La cybersécurité est plus grande qu'une personne ou une organisation. Cela explique pourquoi les gouvernements adoptent des lois pour maintenir le décorum dans le cyberespace.

Le respect des exigences de CIRCIA vous met en règle avec la loi. Le non-respect de la loi a un impact négatif sur votre réputation et votre entreprise. Vous pourriez subir des sanctions, des amendes ou une fermeture pure et simple.

Réponse rapide aux incidents

Un plan de réponse aux incidents efficace peut atténuer les cyberattaques les plus dangereuses. En tant qu'autorité en matière de cybersécurité, CISA travaille avec du personnel expert en cybersécurité qui est facilement disponible pour aider les entités couvertes à gérer les cyberincidents. Leur signaler avec précision les cyberincidents vous donne accès à leurs services. Ils peuvent déployer les meilleures ressources pour répondre rapidement à l'attaque.

Sensibilisation accrue à la cybersécurité

La cybersécurité est un problème depuis des années, mais certaines personnes et organisations ne lui accordent pas l'attention qu'elle mérite. CIRCIA exige non seulement que toutes les entités couvertes signalent les cyberincidents, mais qu'elles le fassent efficacement. Le respect des exigences de déclaration nécessite un certain niveau d'attention et de dévouement à la cybersécurité, augmentant ainsi la sensibilisation à la cybersécurité.

Lorsque vous cultivez une culture de la sécurité pour respecter les exigences de CIRCIA, vous et votre équipe acquérez par inadvertance les connaissances et les compétences nécessaires pour mieux sécuriser votre réseau. C'est du moins l'espoir.

Accédez à une réponse efficace aux incidents cybernétiques avec CIRCIA

Les cybercriminels opèrent avec les ressources humaines et techniques les plus sophistiquées. Les personnes et les organisations subissent de graves dommages de la part des attaquants car elles manquent de ressources pour repousser.

CIRCIA donne aux entités couvertes l'accès à des défenses de cybersécurité de haut niveau qui peuvent normalement ne pas être à leur portée. Les acteurs de la menace auront alors probablement plus de mal à exécuter et à échapper à leurs attaques.