« Beaucoup de vrais détails doivent être réglés dans le cadre du processus d’élaboration des règles », a déclaré Christopher D. Roberti, vice-président senior pour la cybersécurité, le renseignement et la politique de sécurité de la chaîne d’approvisionnement à la Chambre de commerce américaine.
La loi oblige l’agence de cybersécurité à travailler avec les entreprises pour établir les règles, donnant aux chefs d’entreprise leur mot à dire sur la manière dont la loi est appliquée.
Des cyberattaques ont perturbé les opérations de grandes entreprises américaines au cours de l’année écoulée, notamment JDS Foods, un fournisseur de viande, et Colonial Pipeline, qui alimente en carburant la côte est. Les deux attaques ont entravé la capacité des Américains à obtenir des fournitures essentielles et ont créé une urgence pour les législateurs d’agir.
Les sénateurs Gary Peters, démocrate du Michigan, et Rob Portman, républicain de l’Ohio, qui ont rédigé le projet de loi sur le signalement des incidents, ont déclaré que la loi aiderait des entreprises comme JDS Foods et Colonial à se remettre plus rapidement de telles attaques. L’autorité de cybersécurité pourrait les guider et les soutenir pendant le processus de récupération.
Les déclarations tardives ont coûté cher aux entreprises. En 2018, Yahoo a été condamné à une amende de 35 millions de dollars pour avoir omis de divulguer rapidement un piratage de 2014. Et les dirigeants peuvent faire face à des accusations criminelles, comme dans le cas d’un ancien dirigeant d’Uber accusé d’entrave et de fraude pour avoir géré une violation de données en 2016 au sein de l’entreprise de covoiturage.
Ce que vous devez savoir sur les attaques de ransomwares
« Depuis au moins un an, nous entendons des entreprises parler du paysage incohérent et inégal des rapports d’incidents », a déclaré Courtney Lang, directrice principale des politiques au Conseil de l’industrie des technologies de l’information. « À mesure que le paysage de la cybersécurité évolue, certaines menaces doivent être traitées. Dans une certaine mesure, nous pensons que le signalement des incidents peut fournir des informations utiles qui peuvent aider à façonner des réponses spécifiques. »
Alors que des règles similaires sont envisagées en Europe et dans d’autres agences fédérales aux États-Unis, les chefs d’entreprise espèrent que la nouvelle loi fédérale deviendra un modèle pour d’autres législateurs et responsables gouvernementaux afin d’aider les entreprises à éviter un fouillis d’exigences de déclaration d’incident qui se chevauchent.