Pourquoi la communication de crise a besoin d'un chiffrement de bout en bout

L'année dernière, le monde a connu 3205 cyberattaques et violations de données, et l'attaque la plus importante a exposé plus de 3 milliards de comptes d'utilisateurs. Alors que les organisations intensifient leurs efforts en matière de cybersécurité, elles doivent également veiller à se conformer aux nouvelles réglementations. Les lois récemment mises en œuvre, telles que la directive NIS2 (Network and Information Systems Directive), se concentrent désormais non seulement sur les protocoles et la gestion des incidents orientés vers l'extérieur ou vers les clients, mais aussi sur les processus de communication et les enregistrements internes sécurisés.

Dans cet article, nous examinerons comment ces réglementations remodèlent la communication de crise et ce que les organisations doivent faire pour préserver la collaboration en cas d'urgence.

La communication de crise et la montée en puissance de la cyber-réglementation

Le règlement général sur la protection des données (RGPD) et la directive NIS2 sont deux lois importantes conçues pour protéger les données et assurer la résilience et la continuité des activités. Alors que le GDPR impose des mesures pour garantir la confidentialité et la sécurité des données à tout moment, y compris pendant une crise, la directive NIS2 se concentre spécifiquement sur la cybersécurité et établit des règles pour la communication de crise.

Alors que les risques cybernétiques ne cessent de s'intensifier, il est évident qu'une communication et une coordination internes complètes et opportunes sont essentielles pour gérer efficacement un événement indésirable. Pour réagir efficacement à un incident, les équipes doivent partager des informations sensibles, et une attaque contre les canaux de communication utilisés peut encore aggraver la crise.

La NIS2 met l'accent sur la surveillance et la responsabilité du conseil d'administration dans la gestion des crises. Les cadres supérieurs et les membres du conseil d'administration sont désormais tenus de veiller à ce que les protocoles d'intervention d'urgence soient sûrs, traçables et transparents. Cela met l'accent sur les communications internes ainsi que sur l'engagement vis-à-vis de l'extérieur ou de la clientèle.

Ce que le NIS2 attend de la communication organisationnelle

La NIS2 établit des règles claires pour les processus de communication de crise des entreprises, axées sur le temps de réponse, la documentation prête à l'audit et les canaux de communication sécurisés.

Délai de signalement d'un incident

La NIS2 exige des organisations qu'elles signalent les incidents de cybersécurité importants en trois phases :

• Les entreprises doivent soumettre une alerte rapide à l'autorité compétente ou à l'équipe nationale de réponse aux incidents de sécurité informatique (CSIRT) dans les 24 heures suivant l'incident.
• Ce rapport doit indiquer aux autorités si l'incident a été causé par un acte illégal ou malveillant et s'il pourrait avoir des ramifications transfrontalières.
• L'objectif est de contenir rapidement la propagation d'une menace et d'en minimiser l'impact.

2) Notification d'incident

• Ce rapport doit être soumis dans les 72 heures suivant le moment où l'organisation a pris connaissance d'un incident.
• Il doit être détaillé et fournir une première évaluation de la gravité de l'événement ainsi que de son impact possible
• Il doit également inclure tous les indicateurs de compromission disponibles.
• L'organisation doit signaler l'événement aux autorités chargées de l'application de la loi s'il est de nature criminelle.

• Ce rapport doit être soumis dans un délai d'un mois à compter de la notification initiale.
• Il doit fournir une description détaillée de l'incident, y compris
  • la cause
  • la gravité
  • l'impact
  • les mesures d'intervention et d'atténuation mises en œuvre ou en cours
  • les implications et l'impact au niveau international

Les organisations doivent également signaler toute cybermenace importante qu'elles soupçonnent de pouvoir entraîner une violation grave. Le NIS2 considère qu'une menace est importante si elle remplit les conditions suivantes :

• Potentiel de perturbation opérationnelle matérielle ou de pertes financières
• Possibilité de causer des dommages matériels ou immatériels importants à des personnes physiques ou morales.

Documentation prête pour l'audit

• La NIS2 impose la tenue d'enregistrements vérifiables de toutes les communications pendant une crise afin de garantir la transparence et la conformité
• Ces documents doivent être facilement accessibles pour être examinés par les autorités de réglementation ou les auditeurs internes.
• Cela souligne la nécessité de disposer d'outils de communication d'entreprise sécurisés et traçables, car les applications de messagerie grand public peuvent ne pas capturer ou enregistrer avec précision des traces de messages étendues.

Accès sécurisé à plusieurs facteurs

• Le NIS2 impose des mesures de sécurité strictes, notamment le cryptage de bout en bout et l'authentification multifactorielle pour la communication interne. Cela nécessite un système de communication robuste capable de protéger les communications vocales, vidéo et textuelles, ainsi que les fichiers et les documents.
• Elle souligne également l'importance de protocoles d'accès robustes basés sur les rôles.
• L'authentification multifactorielle ajoute une couche supplémentaire de sécurité, ce qui rend plus difficile pour les cybercriminels d'infiltrer les systèmes et d'altérer les communications liées à la crise.

Le danger des canaux non cryptés en cas de crise

Quel est le degré de sécurité d'un canal de communication ? En réalité, même les plateformes qui prétendent être cryptées et entièrement sécurisées présentent de sérieuses vulnérabilités qui peuvent être exploitées par des pirates informatiques. Par exemple, la cyberattaque chinoise Salt Typhoon contre les fournisseurs de télécommunications, les hôtels et les compagnies aériennes des États-Unis a exposé des données relatives à la sécurité nationale et des informations sur des dirigeants politiques. Les pirates ont utilisé des technologies et des tactiques sophistiquées pour percer les défenses et ont réussi à exploiter les portails à portes dérobées utilisés par le gouvernement et les agences de renseignement à des fins de surveillance légale.

Bien qu'elles revendiquent des mesures de cybersécurité robustes, presque toutes les applications de messagerie grand public et même les plateformes de communication d'entreprise telles que Slack ou Microsoft Teams comportent des angles morts en matière de sécurité dans leur architecture.

Même sans lacunes de sécurité intentionnelles, la plupart des plateformes de communication, y compris Zoom, Slack et MS Teams, ne garantissent pas un chiffrement de bout en bout. Pour être considérée comme entièrement chiffrée, la plateforme doit protéger les données lorsqu'elles sont au repos, ainsi qu'en transit. Elles doivent être chiffrées du côté de l'expéditeur et déchiffrées uniquement lorsqu'elles parviennent au destinataire prévu. Si la plateforme ou l'outil ne garantit pas ce niveau de cryptage complet, les lacunes de la couverture peuvent être exploitées. L'accès non autorisé ou malveillant à des informations sensibles partagées pendant une crise ne manquera pas d'aggraver une situation déjà difficile.

Le chiffrement de bout en bout : Pas seulement pour la messagerie

Lorsqu'il s'agit de protéger les communications d'urgence, la confidentialité des conversations et des fichiers n'est qu'un élément du puzzle. Vous devez également tenir compte de l'étendue des mesures de cybersécurité en place, des exigences réglementaires et de l'expérience des utilisateurs :

Chiffrement robuste - Examinez le niveau de chiffrement assuré par votre outil. Vérifiez s'il existe des portes dérobées susceptibles d'être exploitées. Wire utilise des mesures de cryptage avancées telles que le protocole Proteus pour protéger chaque message et chaque fichier. Cela signifie que toutes les données partagées sur notre plateforme sont cryptées avec une clé unique. Nous offrons également un support multi-appareils, de sorte que les utilisateurs peuvent accéder à leurs messages de manière transparente sur tous les appareils afin de garantir une coordination rapide et ininterrompue. Wire utilise également le protocole Messaging Layer Security (MLS) pour sécuriser les conversations de groupe.

Confiance zéro, contrôles d'accès basés sur les rôles - Que se passe-t-il si un pirate informatique parvient à franchir les défenses de la plateforme et à accéder aux fichiers et aux discussions ? Sur une application grand public comme WhatsApp ou Signal, ou même MS Teams et Slack, cela risque d'entraîner une grave violation des données. Outre le chiffrement de bout en bout, la plateforme doit également fonctionner sur une architecture de confiance zéro qui garantit des contrôles d'accès basés sur les rôles. Ainsi, même en cas de piratage, les mauvais acteurs ne peuvent pas s'emparer d'informations sensibles.

Facilité d'utilisation - La question est de savoir si ces mesures de sécurité avancées nuisent à la facilité d'utilisation. La réponse est un non catégorique. Nous garantissons une sécurité délicieusement invisible - notre plateforme assure une protection maximale de vos discussions, fichiers et appels, sans sacrifier l'expérience utilisateur. Nous pensons que cela est essentiel pour empêcher les équipes de recourir à des canaux de communication non officiels et non approuvés, simplement parce qu'ils sont faciles à utiliser.

Communication de secours: Que se passe-t-il si une cyberattaque compromet votre réseau d'entreprise ou affecte vos fournisseurs de services ? Vous avez besoin d'une plateforme qui assure des communications de repli hors bande. Wire fonctionne indépendamment des réseaux d'entreprise et même des réseaux mobiles, ce qui permet aux équipes de collaborer en temps réel et de manière asynchrone.

Traçabilité: Le NIS2 exige des enregistrements vérifiables de chaque message envoyé pendant une crise. Votre plateforme de communication doit être capable de stocker toutes les conversations liées à l'incident, les journaux d'appels et les fichiers. Wire stocke des journaux détaillés de toutes les discussions et de tous les fichiers relatifs à la gestion des incidents, qui peuvent être facilement récupérés à des fins de conformité.

Conclusion

Le paysage des entreprises modernes est hautement numérique et interconnecté, et une atteinte à la cybersécurité peut faire boule de neige et se transformer en un incident de grande ampleur si des stratégies d'atténuation efficaces ne sont pas mises en place. La communication sécurisée en cas de réponse à un incident devient rapidement une priorité stratégique, en raison des exigences réglementaires et d'une meilleure compréhension des vulnérabilités des plateformes de collaboration et de messagerie. Le chiffrement de bout en bout, l'authentification multifactorielle et les enregistrements vérifiables des communications sont des exigences clés de la NIS2 et les entreprises doivent adopter une approche proactive pour garantir des stratégies de communication de crise sécurisées et conformes.

Découvrez comment sécuriser votre stratégie de communication de crise pour vous conformer à des réglementations telles que NIS2. Téléchargez notre livre blanc intitulé "The Critical Role of Secure Communications in NIS2 Compliance" (Le rôle essentiel des communications sécurisées dans la conformité au NIS2).