Les organisations en Inde sont confrontées à un délai de déclaration de violation de données de six heures, suite à l’introduction de nouvelles règles par l’équipe d’intervention d’urgence informatique du pays, CERT-In.
Les nouvelles règles s’appliqueront aux parties critiques du réseau et de l’infrastructure informatique de l’Inde, y compris les fournisseurs de services, les centres de données, les organisations gouvernementales et les entreprises.
La fenêtre de signalement est beaucoup plus courte que celle des autres grandes économies : dans l’UE, le RGPD exige que les violations soient signalées dans les 72 heures. Les incidents peuvent être signalés par téléphone, fax ou e-mail.
Les organisations couvertes par la règle doivent conserver les journaux pendant 180 jours après un incident.
Connaissez votre client
Certains secteurs, notamment les centres de données, les fournisseurs de services cloud et les opérateurs VPN, devront également enregistrer et conserver certaines informations sur les clients, notamment les noms, les adresses IP et la raison de leur utilisation des services, pendant au moins cinq ans.
De même, les services de crypto-monnaie seront obligés de maintenir enregistrements « connaître votre client » (KYC).
Le CERT-In a émis un liste de 20 types d’incidents (PDF) que les organisations doivent signaler dans la fenêtre de six heures. Il s’agit notamment des attaques de logiciels malveillants et de rançongiciels ; usurpation d’identité, usurpation d’identité et attaques de phishing ; et les violations de données et les fuites de données.
La liste comprend également l’accès non autorisé aux comptes de médias sociaux et les attaques ou activités suspectes affectant les services de cloud computing, la blockchain, la robotique, la fabrication additive, l’impression 3D ou les drones.
Toutes les organisations couvertes par la directive doivent synchroniser leurs systèmes avec des serveurs de temps réseau (NTP) gérés par le Centre national d’informatique ou le Laboratoire national de physique de l’Inde, ou des serveurs NTP synchronisés avec ces systèmes, probablement pour faciliter l’analyse des données de journal par CERT-In.
Les organisations qui ne se conforment pas s’exposent à des sanctions prévues par la loi indienne de 2000 sur les technologies de l’information.
Annonce des nouvelles règlesle ministère indien de l’électronique et de l’informatique a déclaré que « CERT-In a identifié certaines lacunes qui entravent l’analyse des incidents », ajoutant que les règles « amélioreraient la posture globale de cybersécurité et garantiraient un Internet sûr et fiable dans le pays ».
RV Raghu, directeur de Versatilist Consulting India et ambassadeur de l’ISACA en Inde, a salué cette annonce comme « un grand pas vers l’amélioration de la protection des données et des clients, qui peut également renforcer la posture globale de cybersécurité des entreprises indiennes ».
« Le signalement des incidents peut conduire au partage d’informations, prévenir la montée des risques systémiques et conduire à un écosystème plus fort », a-t-il déclaré. La gorgée quotidienne.
Les nouvelles règles doivent entrer en vigueur 60 jours après leur annonce, le 28 avril.
