Ce conseiller en sécurité de la société, dont au moins 200 clients publics et privés ont récemment été piratés, a déclaré à Bloomberg avoir averti la direction des risques de cybersécurité et présenté un plan, en vain, pour y remédier.
Dans une présentation PowerPoint de 23 pages examinée par nos confrères, Ian Thornton-Trump recommandait en 2017 aux dirigeants que SolarWinds nomme un directeur principal de la cybersécurité, leur expliquant que « la survie de l'entreprise dépend d'un engagement interne en faveur de la sécurité. »
Le mois suivant, il mettait fin à sa relation avec l'entreprise, affirmant que sa direction n'était pas intéressée par des changements qui auraient eu « un impact significatif », considérant une brèche majeure comme inévitable.
Dans un e-mail expliquant les raisons de son départ qu'il a envoyé à un dirigeant de SolarWinds le 15 mai 2017, et que Bloomberg a pu consulter, il avait expliqué avoir « perdu confiance dans le leadership » de l'entreprise, qui selon lui semblait « réticent à apporter les corrections » qu'il jugeait nécessaires pour continuer à soutenir la marque de sécurité qu'il avait créée chez LogicNow, une société de cloud computing basée au Royaume-Uni, acquise par SolarWinds en juin 2016.
« Il y avait un manque de sécurité au niveau du produit technique, et il y avait un leadership minimal en matière de sécurité au sommet », a déclaré Thornton-Trump dans une interview. « Nous savions en 2015 que les hackers cherchaient n'importe quelle voie vers une entreprise. Mais SolarWinds ne s'est pas adapté. C'est ça la tragédie. Il y avait beaucoup de leçons à apprendre, mais SolarWinds ne prêtait pas attention à ce qui se passait. »
Jusqu'à récemment, SolarWinds conseillait à ses clients sur son site (la page a depuis été supprimée) de désactiver l'analyse antivirus des produits de la plateforme Orion afin que ses produits puissent fonctionner plus efficacement.
Un chercheur en cybersécurité l'avait alerté qu'un mot de passe, « solarwind123 », traînait sur le web. SolarWinds lui avait répondu qu'il était visible en raison d'une « mauvaise configuration », et l'avait supprimé.
Commentaires (16)
#1
On a beau crier sur les toits aujourd’hui qu’on manque de personnel qualifié en cyber sécurité mais je suis persuadé qu’on manque de cerveau qualifié quant à la menace chez les dirigeant d’entreprise.
La vision courtermiste des gains rapide ne permet plus depuis longtemps déjà d’être efficace en business.
#1.1
C’est surtout l’absence de gain quantifiable qui fait rejeter tous ces sujets, à chaque fois que l’on évoque une action potentielle, la réponse des managers c’est toujours : “C’est quoi le ROI ?” (retour sur invesissement).
On peut chiffrer des pertes potentielles, mais tant que ça ne reste qu’un risque avec une possibilité que rien de fâcheux ne se produise, la conclusion est évidente pour les mêmes : “Bah ça rapporte rien !”
#1.2
C’est un effondrement moral et du niveau d’intelligence engendré par une idéologie économique et un système de formation qui sélectionne et fabrique dans des moules des exécutants stupides n’ayant comme boussole que des indices “quantitatifs” qui permettent de sursimplifier et masquer la réalité.
Ne pas comprendre l’intérêt de long terme d’une sécurité bien maîtrisé n’est que la partie émergée de l’iceberg.
#1.3
Tout comme la conformité, les dirigeants devraient comprendre que ces dépenses sont un indicateur à multiplication inférieure à 1 sur les bénéfices de l’entreprise.
Effectivement, le fait que cela ne rapporte rien ne les fait pas tilter et ça me rend dingue. Achetons une voiture sans frein, c’est moins cher à l’entretien et pis si tout le monde suit le code de la route rien de devrait arriver…
Problème difficile à résoudre tant le sujet est vaste et les mesures de sécurité ne peuvent être dictés par une autorité si ce n’est de manière générale. Mais au moins en Europe on a la CNIL pour sanctionner les manquements grave à la sécurité (même si elle ne s’aventure pas à tenter de pénétrer dans les systèmes).
#1.4
Vos exemples de dirigeants font peur, on a l’impression que vous parlez d’aveugles obsessionnels compulsifs des rapports chiffrés.
Du genre à ne pas chercher à connaître leur entreprise et savoir ce qui s’y passe mais mais plutôt à se rassurer que tout va bien avec des tableaux Excel.
#1.5
Il ne faut pas non plus mettre tout le monde dans le même panier. Il y a pas mal de boites où la sécurité est prise très au sérieux, même tout en haut de la hiérarchie.
#2
solarwind123, sérieux !
Même pas Solarwind123! pour un peu plus de sécurité, le minimum :)
#2.1
Tu rigoles mais un de nos utilisateurs avait un truc du genre comme mot de passe pour son compte mail, et on l’a seulement remarqué quand on a commencé à être blacklistés parce que ce compte était utilisé pour envoyer du spam. Ça n’a duré que quelques heures et seul le SMTP a été utilisé, mais ça a pris un peu plus d’une semaine pour de nouveau être considéré comme clean un peu partout.
#3
d’un autre côté, j’ai quand-même l’impression que les choses changent pas mal. Aujourd’hui, suite à ce type d’affaires, il devient juste impensable de ne pas se préoccuper des problèmes de sécurité : le risque encurru en terme de réputation peut couler une boîte. À ce niveau, le ROI est très vite calculé, quand le manager a un minimum d’intelligence…
#4
Ce qui est dingue c’est que Solar Winds n’est pas un petite entreprise, c’est un énorme acteur qui travaille en plus avec des secteurs sensibles comme la défense, etc.
Selon moi il n’y a pas que Solar Winds qui est à blâmer, aucun de ses gros clients genre du gouvernement ou de la défense ne sait dit “on va auditer notre fournisseur” pour s’assurer de ses pratiques en matière de sécurité informatique ?!
Quant au top management ce n’est pas surprenant qu’il ne s’intéresse pas à la sécurité informatique ou n’évalue pas/mal les risques encourus, déjà que des opérationnels en informatique ne sont pas forcément sensibilisés ou formés à l’infosec, alors les dirigeants…
La CNIL ne contrôle et sanctionne que sur le périmètre des données à caractère personnel. Tout le reste est en dehors de ses prérogatives.
#5
“ne s’est dit…” ça pique…
tu as abusé de l’épice………………
#5.1
Ça va, d’autres alignent 2 fautes par mot.
#6
T’as que ça à faire de commenter juste pour relever les fautes de français et faire l’intéressant ?
C’est vrai que réagir à l’article ou au contenu des commentaires ça doit être fatiguant.
Les fautes ça arrive à tout le monde, notamment lorsque l’on ne se relit pas.
Mais apparemment quand on jette rapidement un coup d’œil à tes derniers commentaires, tu sembles être un aficionado du commentaire de bas-étage sans aucune valeur ajoutée.
Tu ferais mieux d’aller au PMU de coin, ça te conviendrait mieux.
#7
Un chercheur en cybersécurité l’avait alerté qu’un mot de passe, « solarwind123 », traînait sur le web. SolarWinds lui avait répondu qu’il était visible en raison d’une « mauvaise configuration », et l’avait supprimé.
L’histoire ne dit pas si le mot passe a été changé suite à cela
#8
Bien souvent, lorsque les pirates pénètrent dans une boite, ils volent tout ce qu’ils peuvent et généralement ces données contiennent des données personnelles (que ce soit d’employés ou de clients). Après c’est sûr que forcer un certain niveau technique de sécurité c’est très difficile, peut être à mettre en place pour les entreprises qui travaillent avec la défense ou les systèmes vitaux de la nation.
#9
Ils font exactement ce que leurs imposent leurs actionnaires (sinon, ils dégagent). Les actionnaires en question ne s’intéressent qu’à leur intérêt à court terme (les fameux 1x % de croissance minimum quand ce n’est pas 2x%), et la rémunération par action en fin d’année.
Du coup, toute la chaine hiérarchique des sociétés actionnaire-orientées ne sert qu’un seul intérêt: l’appétit toujours croissant des actionnaires au détriment de la survie de ladite société (c’est exactement le même principe d’extraction de valeur que ce qui était appliqués directement aux humains dans les camps de travail pendant la deuxième guerre mondiale où on ne donnait que le minimum à manger pour maintenir en vie).
Pourquoi croyez vous que les OIV se sont fait imposer des mesures de sécurisation ? Ils ne l’auraient jamais fait sans cela car le ROI est 0.
Dans ce contexte, la présence de régulateurs forts que sont l’ANSSI et l’ASN est primordiale pour éviter le mur. C’est ce qui explique également l’interventionnisme actuel au ministère de l’industrie car la seule vision à long terme qui reste est la vision politique (qui l’eus cru il y a seulement 20 ans)