
Dans cet article (4)
Analyse de la règle de signalement des violations de la CISA : flux de conformité
Points clés
- Traitez le signalement des violations comme un flux de travail, et non comme une tâche de rédaction après incident.
- Cartographiez l’acheminement des alertes, la préservation des preuves et les transferts aux équipes juridiques avant que la CISA ne finalise la règle.
- Surveillez le texte final pour les définitions du périmètre, surtout si vous servez des clients relevant des infrastructures critiques.
Un objectif de sortie en septembre sert de repère de planification pour les journaux, les voies d’escalade, la préservation des preuves et les relais de signalement.
Un objectif de publication en septembre est un repère de planification pour les journaux, les voies d’escalade, la préservation des preuves et les relais de signalement.
Ce qu’il y a d’utile avec une échéance de déclaration, c’est qu’elle ne se soucie pas de savoir qui possède le canal Slack. Si la règle de déclaration des violations en attente de la CISA arrive sur le calendrier de septembre rapporté par Bloomberg Law, le premier problème de conformité ne sera pas la rédaction. Ce sera de savoir si un dossier d’incident, une évaluation juridique et une transmission de déclaration fédérale peuvent se retrouver assez vite.
La date qui compte est un objectif de publication
Bloomberg Law a rapporté le 6 juillet 2026 que la Cybersecurity and Infrastructure Security Agency vise une publication en septembre pour sa règle de déclaration des violations. MeriTalk, citant un document réglementaire, a également rapporté que la CISA prévoit de finaliser en septembre une règle de déclaration des incidents de cybersécurité. Ce n’est pas la même chose qu’une application immédiate, et les éléments fournis ici n’indiquent pas de première date d’amende. C’est toutefois un signal pratique pour arrêter de traiter la déclaration des violations comme un document rédigé après la fin de l’appel d’incident.
MeriTalk relie la règle au Cyber Incident Reporting for Critical Infrastructure Act de 2022, connu sous le nom de CIRCIA, et rapporte que la CISA a publié son avis de proposition de réglementation le 4 avril 2024. Inside Privacy a couvert le retard de la CISA concernant la règle de déclaration des cyberincidents le 5 septembre 2025. Mis bout à bout, l’enchaînement est moins spectaculaire qu’opérationnel : le Congrès a créé l’obligation de déclaration, la CISA a proposé les détails, le processus a pris du retard, et l’agence vise maintenant septembre.
Ce dont la règle traite réellement
MeriTalk rapporte que la réglementation obligerait les entités d’infrastructures critiques à déclarer les cyberincidents majeurs et les paiements liés à des rançongiciels directement à la CISA en vertu de la loi de 2022. Il indique aussi que les entités d’infrastructures critiques seraient tenues de déclarer les cyberincidents importants dans les 72 heures et les paiements liés à des rançongiciels dans les 24 heures. Ces deux horloges sont la partie que les équipes de développement devraient coller dans le guide d’intervention en cas d’incident, de préférence avant que quelqu’un ne doive décider si une panne est seulement embarrassante ou juridiquement déclarable.
Cela ne signifie pas que chaque fournisseur de logiciels a soudainement une déclaration fédérale de violation à effectuer dès qu’un tableau de bord passe au rouge. D’après le résumé de MeriTalk, la règle vise les entités d’infrastructures critiques et met en œuvre les obligations de déclaration de la CIRCIA pour les cyberincidents couverts et les paiements de rançon. La question du périmètre reste importante, surtout pour les fournisseurs qui servent des clients d’infrastructures réglementées. Si votre client est susceptible de demander des preuves d’incident dans une fenêtre de 72 heures, votre contrat peut devenir le mécanisme pratique d’application avant même que la CISA n’envoie une lettre.
Le flux de travail caché dans l’échéance
Les fenêtres de 72 heures et de 24 heures rapportées par MeriTalk ne sont pas seulement des minuteurs juridiques. Ce sont des contraintes de conception pour les outils de réponse aux incidents, les taxonomies de tickets, la conservation des journaux et les chemins d’escalade. Une équipe qui découvre un incident à 2 heures du matin a besoin d’un enregistrement indiquant qui a remarqué quoi, quels systèmes ont été touchés, quelles preuves ont été préservées et qui peut décider si une déclaration à la CISA est déclenchée. C’est une question de flux de travail qui porte un chapeau juridique.
La préparation utile est ennuyeuse, ce qui est généralement la façon dont la conformité annonce qu’elle est réelle. Les entreprises devraient cartographier qui reçoit les alertes de sécurité, qui peut classer un événement comme potentiellement déclarable, qui préserve les preuves et qui transmet les informations au service juridique ou à la conformité. Elles devraient aussi vérifier si les décisions de paiement de rançongiciel passent par un processus d’approbation séparé, financier, juridique ou exécutif, car MeriTalk rapporte une fenêtre distincte de 24 heures pour ces paiements. La loi n’exige peut-être pas que votre schéma interne soit joli. Elle exige en revanche que l’organisation fonctionne plus vite qu’un comité de post-mortem.
Le retard était l’avertissement
La couverture d’Inside Privacy du 5 septembre 2025 présentait la règle comme retardée, ce qui était utile si les entreprises ont consacré ce temps supplémentaire à renforcer leurs capacités au lieu d’attendre que le Federal Register les divertisse. La page publique de la CISA elle-même présente le programme comme le Cyber Incident Reporting for Critical Infrastructure Act de 2022, un rappel qu’il ne s’agit pas d’une campagne volontaire de partage d’informations avec un logo plus agréable. C’est un régime de déclaration prévu par la loi qui se rapproche de sa forme finale.
La prochaine chose à surveiller est le texte final, en particulier la manière dont la CISA définit les entités et les incidents qui doivent être déclarés. D’ici là, la distinction la plus sûre est celle entre ce qui est déjà clair et ce qui est encore en attente. Clair : la déclaration par les infrastructures critiques est la cible, et les fenêtres rapportées sont de 72 heures pour les cyberincidents importants et de 24 heures pour les paiements liés à des rançongiciels. En attente : les cas limites opérationnels exacts qui décideront si votre contrat fournisseur a besoin d’une nouvelle clause ou de trois.
Pour les personnes qui conçoivent des systèmes et celles qui apprennent, l’objectif de septembre est une entrée de calendrier avec des conséquences d’ingénierie. La réponse aux incidents devient un flux de travail de conformité, ce qui signifie que la journalisation, la préservation, l’escalade et les transmissions de déclaration doivent avoir des responsables avant l’arrivée de la règle. Surveillez la règle finale pour les définitions de périmètre, mais n’attendez pas qu’elle invente votre processus. Les régulateurs infligent rarement des amendes aux entreprises parce qu’elles ont trop de preuves et un chemin d’escalade trop clair.