Chargée d’établir un cadre de signalement des attaques par ransomware, la CISA en questionne encore de multiples aspects.
Faut-il mettre sur le même plan les risques « imminents » et les risques « réels » ? Quand peut-on considérer qu’un paiement a été « réalisé » ? Par quels canaux faire ses signalements aux autorités ? Autant de questions que la CISA devra trancher pour implémenter le CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act).
Ce texte ratifié en mars 2022 impose à certaines entités de signaler à l’ANSSI américaine les incidents cyber qu’elles subissent. Ainsi que les paiements qu’elles effectuent en réponse à des attaques par ransomware.
Le CIRCIA donnait deux ans à la CISA pour émettre un avis de projet de réglementation. Celle-ci s’est exécutée, au bout du délai imparti. Elle a désormais 18 mois pour finaliser sa proposition, soumise à consultation publique.
Certains éléments sont gravés dans le marbre, à l’image des 24 heures données aux entités concernées pour signaler les paiements de rançons. D’autres suscitent davantage de débat. Parmi eux, donc, le moment à partir duquel courra ce délai de 24 heures.
Le droit américain présente diverses approches en la matière. Tantôt, un paiement est « réalisé » au moment de l’envoi/du transfert. Tantôt, il l’est lors de la réception ou de la mise à disposition du bénéficiaire. Il arrive par ailleurs que les règles varient avec la méthode de paiement.
Transmission automatisée : non pour le moment
La CISA propose de retenir la première option, pour deux raisons principales. D’un côté, il est plus simple pour une entité de déterminer le moment d’envoi que celui de la réception ou de la mise à disposition. De l’autre, cela permet à la CISA d’obtenir les signalements dans de meilleurs délais.
Pour ce qui est des canaux de signalement, l’ANSSI américaine écarte aussi bien l’e-mail que le téléphone. Autant pour des questions de sécurité que de travail de réconciliation. Elle compte explorer la transmission automatisée par API. Mais ne la recommande pas en l’état actuel, préférant concentrer ses « ressources techniques et financières finies » sur le développement d’un formulaire web.
Quant à déterminer quelles entités soumettre au CIRCIA, il y a là aussi encore débat. Exemple dans le secteur de la santé. La CISA considère qu’il n’est ni prudent ni économiquement viable d’imposer des signalements à chaque fournisseur direct de soins (cliniques, cabinets médicaux, centres de chirurgie…). Et conseille de se concentrer sur les hôpitaux.