Cela fait trois ans que l'éditeur de logiciels américain SolarWinds a été victime de l'une des cyberattaques les plus importantes de l'histoire. L'incident, qui a été révélé pour la première fois en décembre 2020, a vu des pirates russes pirater le populaire logiciel de surveillance du réseau et des applications Orion de SolarWinds pendant deux ans.
Une fois dans l'infrastructure technique de SolarWinds, les cybercriminels ont créé et envoyé des mises à jour de logiciels malveillants à des milliers d'entreprises et d'organisations utilisant le logiciel Orion pour gérer leurs environnements informatiques.
Un nombre impressionnant de 18,000 XNUMX utilisateurs d’Orion ont installé sans le savoir les mises à jour contenant des logiciels malveillants, permettant aux pirates d’accéder à leurs réseaux informatiques, à leurs systèmes informatiques et à leurs données, ainsi que de cibler leurs clients et autres parties prenantes.
Le piratage a touché plusieurs agences gouvernementales américaines, notamment la sécurité intérieure, l'État, le Trésor et le Commerce, ainsi que de grandes entreprises comme Microsoft, Intel, Cisco, Deloitte et FireEye. tel que rapporté par TechTarget. La violation était si grave et si étendue que le président de Microsoft, Brad Smith décrit il s’agit de « l’attaque la plus importante et la plus sophistiquée que le monde ait jamais connue ».
Avance rapide jusqu’en 2023, SolarWinds est toujours confronté aux répercussions de cette cyberattaque record. En octobre, la Securities and Exchange Commission (SEC) des États-Unis a annoncé qu'elle intenterait une action en justice contre SolarWinds, accusant l'entreprise technologique d'avoir induit les investisseurs en erreur sur ses pratiques et ses risques en matière de cybersécurité.
Ce piratage, associé aux récentes accusations portées par la SEC contre SolarWinds, souligne la nécessité pour les entreprises de prendre au sérieux l'augmentation de la cybercriminalité en comprenant et en adoptant de solides pratiques de sécurité des informations. Il présente également de précieuses opportunités d'apprentissage commercial, dont nous explorerons la plupart dans cet article de blog.
Comprendre les frais de la SEC
L’un des aspects les plus importants de ces accusations de la SEC est qu’elles ciblent non seulement SolarWinds, mais également le responsable de la sécurité de l’information, Timothy G. Brown.
La SEC allègue qu’entre son introduction en bourse en octobre 2018 et son annonce de cyberattaque en décembre 2020, SolarWinds a « fraudé les investisseurs » en exagérant ses pratiques de cybersécurité et en minimisant et en ne divulguant pas les vulnérabilités de cybersécurité dont elle avait connaissance.
Dans un communiqué de presse, l'agence gouvernementale américaine affirme que SolarWinds n'a informé les investisseurs que des « risques génériques et hypothétiques », même si SolarWinds et Brown étaient conscients des « déficiences spécifiques des pratiques de cybersécurité de SolarWinds » et des « risques de plus en plus élevés ». La SEC allègue que SolarWinds a fait des déclarations publiques trompeuses sur sa position en matière de cybersécurité, contredisant les évaluations internes.
Par exemple, un ingénieur de SolarWinds a créé et diffusé une présentation interne avertissant que l'accès à distance de l'entreprise n'était pas « très sécurisé » et que les pirates pouvaient « pratiquement faire n'importe quoi sans que nous le détections jusqu'à ce qu'il soit trop tard ». La présentation, que Brown avait vue, mettait également en garde contre « une perte de réputation et financière majeure » si un pirate informatique exploitait cette vulnérabilité.
Dans d’autres réclamations contre SolarWinds par la SEC, Brown aurait écrit dans une présentation que « l’état actuel de la sécurité nous laisse dans un état très vulnérable pour nos actifs critiques ». Il aurait également qualifié l’accès et les privilèges critiques aux systèmes et aux données d’« inappropriés » dans une autre présentation, entre autres cas où il aurait soulevé des préoccupations en matière de cybersécurité en interne.
La SEC a accusé Brown de ne pas avoir « résolu les problèmes » et « de ne pas les avoir suffisamment soulevés au sein de l'entreprise », ce qui signifiait que SolarWinds n'était pas en mesure de « fournir des assurances raisonnables que ses actifs les plus précieux, y compris son produit phare Orion, étaient suffisamment protégé ». Il fait maintenant pression pour « une injonction permanente, une restitution avec intérêts antérieurs au jugement, des sanctions civiles et une interdiction d'officier et d'administrateur contre Brown ».
Apprentissages commerciaux
De nombreuses entreprises peuvent tirer des leçons clés pour améliorer leur posture de cybersécurité en évaluant le tristement célèbre piratage de SolarWinds et les récentes accusations de la SEC.
L'apprentissage le plus important est peut-être que la violation de SolarWinds montre que « même les entités les plus sophistiquées et les plus établies ne sont pas à l'abri des cybermenaces », selon Sam Peters, directeur technique d'ISMS.online.
Alors que les cybermenaces deviennent plus complexes et plus courantes à la suite de la faille SolarWinds, les entreprises doivent s’assurer qu’elles disposent des moyens nécessaires pour les identifier, les évaluer et les gérer. Cela devrait impliquer « une vigilance continue, des évaluations régulières et l’adoption d’un état d’esprit proactif en matière de cybersécurité », explique Peters.
La meilleure façon de gérer les menaces nouvelles et émergentes en matière de cybersécurité consiste à suivre les meilleures pratiques du secteur, les exigences réglementaires et des cadres reconnus comme ISO/IEC 27001 et la Cadre de cybersécurité du NIST dans le cadre d’une « culture de sensibilisation à la sécurité ».
Peters explique : « Ce sont des nécessités commerciales dans le paysage numérique actuel. En tant que leaders technologiques, nous devons considérer la cybersécurité non pas comme une fonction autonome mais comme un aspect intégré et fondamental de notre stratégie commerciale globale.
En suivant des cadres comme ISO/IEC 27001, les entreprises doivent adhérer à divers contrôles techniques pour sécuriser leurs réseaux, systèmes et données. Peters explique qu'ils doivent définir, surveiller et réviser gestion des accès utilisateurs, contrôles et responsabilités en plus d'utiliser des protocoles de cryptage et de gestion de clés solides. Prendre ces mesures est la clé pour « garantir la confidentialité des données même en cas de violation ».
Peters recommande également aux entreprises de procéder régulièrement à des évaluations de vulnérabilité, leur permettant d'identifier et de corriger les failles logicielles qui pourraient autrement constituer une porte dérobée vers les systèmes sensibles pour les pirates. Mettre en œuvre une stratégie bien documentée gestion des incidents de sécurité de l'information Ce processus permettrait également aux entreprises d’identifier, de signaler et de gérer les violations au fur et à mesure qu’elles se produisent.
En plus de souligner l’importance de suivre les meilleures pratiques et cadres du secteur, l’incident de SolarWinds montre également que la diligence raisonnable des fournisseurs est cruciale pour atténuer les cyberattaques. Peters recommande aux entreprises de « toujours contrôler les logiciels tiers avec la même rigueur que les systèmes internes ».
Luke Dash, PDG d'ISMS.online, estime que la leçon la plus importante que les entreprises peuvent tirer de la violation de SolarWinds est que la cybersécurité est « un voyage continu, pas une destination ». Même si investir dans la technologie peut aider à lutter contre la cybercriminalité, Dash affirme que les organisations doivent également investir dans leurs collaborateurs en les formant constamment aux menaces et aux meilleures pratiques en matière de cybersécurité.
Il recommande également de créer un plan de réponse aux incidents pour se préparer aux menaces futures et de favoriser une culture de travail basée sur une communication ouverte. Cela garantira que « les employés se sentiront à l’aise pour signaler des activités suspectes sans crainte de représailles ». Dash ajoute : « En cybersécurité, chaque alerte compte. Il s'agit d'un effort collectif et la clé est d'être proactif.
Karl Lankford, directeur EMEA de l'ingénierie des systèmes chez Illumio, affirme que le piratage de SolarWinds et les accusations de la SEC montrent que « le rôle du RSSI mérite une place dans l'équipe de direction ».
« L'ensemble des dirigeants doivent également être tenus responsables des bonnes pratiques en matière de cybersécurité, car c'est souvent cette équipe qui refuse les recommandations d'un RSSI », ajoute-t-il. "J'aimerais voir un changement où le RSSI se voit attribuer l'autorité et les budgets appropriés pour mettre en œuvre des contrôles de sécurité efficaces sans avoir à demander l'approbation à chaque étape."
Robin Campbell-Burt, PDG de Code Red, estime que le piratage de SolarWinds « met en lumière la nature multiforme des relations publiques dans les crises de cybersécurité » et souligne l'importance d'avoir de bonnes relations publiques dans ces situations.
Il déclare à ISMS.online : « Leur réponse à la violation souligne l’impératif d’une communication rapide dans notre monde numérique en évolution rapide. Cependant, selon les récentes accusations de la SEC, cette réponse pourrait ne pas correspondre à la réalité de la posture de cybersécurité de l'entreprise, et ce type de malhonnêteté peut être extrêmement préjudiciable à la réputation d'une marque.
En résumé
Le piratage de SolarWinds et l’action en justice de la SEC démontrent qu’une mauvaise divulgation des violations et une négligence en matière de cybersécurité peuvent être très coûteuses pour les entreprises. Face à l’évolution rapide du paysage des menaces en ligne, les organisations doivent constamment réévaluer et renforcer leur posture de cybersécurité pour se protéger ainsi que leurs clients et partenaires.
Dans ce cadre, l'importance d'employer les meilleures pratiques telles que l'authentification multifacteur, les sauvegardes régulières, la promotion d'une culture de sécurité impliquant tous les employés, le respect des cadres du secteur, ainsi que la collaboration et le partage de renseignements sur les menaces avec les pairs du secteur ne peuvent être sous-estimées.
