VentureBeat présente : AI Unleashed – Un événement exécutif exclusif pour les leaders des données d’entreprise. Réseautez et apprenez avec vos pairs du secteur. Apprendre encore plus
Le secteur de la cybersécurité est sous le choc après la nouvelle choquante que la SEC a accusée. Vents solaires et son ancien RSSI dans la fraude autour de la fameuse attaque SUNBURST.
Une plainte de 68 pages déposé le 30 octobre allègue qu’entre octobre 2018 au moins et jusqu’au 12 janvier 2021, SolarWinds et son responsable de la sécurité de l’époque, Timothy G. Brown, ont fraudé les investisseurs et les clients au moyen de « fausses déclarations, omissions et stratagèmes qui dissimulaient à la fois les mauvaises pratiques de cybersécurité de l’entreprise et son niveau accru de sécurité ». – et croissants – les risques de cybersécurité.
SUNBURST – dont le nom de SolarWinds est désormais synonyme – a été l’une des cyberattaques les plus importantes de l’histoire car elle a infiltré la chaîne d’approvisionnement des logiciels et fait des ravages dans des entreprises de toutes tailles, partout dans le monde. Le gouvernement américain a même été touché, ce qui a incité à des mesures plus strictes. lignes directrices et exigences pour protéger la chaîne d’approvisionnement fédérale en logiciels.
Toutes les conséquences de l’attaque sont encore inconnues et se feront probablement sentir dans un avenir proche.
Les accusations de fraude surviennent alors que la SEC renforce sa responsabilité en matière de cybersécurité, notamment son nouveau délai de quatre jours. exigence de divulgation pour les entreprises publiques – et cela pourrait avoir des implications dramatiques bien au-delà du domaine de la cybersécurité.
« Ces accusations rappellent aux RSSI l’importance d’un comportement éthique et professionnel », a déclaré George Gerchow, membre du corps professoral du cabinet de recherche et de conseil en cybersécurité. Recherche IANS. « Il est crucial pour les RSSI de maintenir un haut niveau d’intégrité, d’adhérer aux normes éthiques et de donner la priorité à la sécurité et à la confidentialité des données de leur organisation. »
Un document interne indique que l’entreprise n’est « pas très sécurisée »
SolarWinds, basé en Oklahoma, propose des outils de gestion de systèmes de réseau et d’infrastructure à des centaines de milliers d’organisations dans le monde.
Potentiellement dès 2018, des pirates ont accédé au réseau de l’entreprise et déployé du code malveillant dans son système de surveillance informatique Orion. Orion est considéré comme un « joyau de la couronne », selon la SEC, qui représentait 45 % des revenus de l’entreprise en 2020.
L’agence affirme qu’au cours de l’attaque de deux ans qui a suivi, SolarWinds et Brown ont fait « des déclarations et omissions matériellement fausses et trompeuses » sur risques et pratiques de cybersécurité dans plusieurs divulgations publiques, y compris une « déclaration de sécurité » sur son site Web et des rapports déposés auprès de la SEC.
Par exemple, en octobre 2018 – le même mois où SolarWinds a procédé à son introduction en bourse (IPO) – Brown a écrit dans une présentation interne que « l’état actuel de la sécurité de SolarWinds nous laisse dans un état très vulnérable pour nos actifs critiques ».
D’autres présentations au cours de cette période ont qualifié la configuration d’accès à distance de SolarWinds de « peu sécurisée » et qu’un exploiteur pouvait « fondamentalement faire n’importe quoi sans que nous le détections jusqu’à ce qu’il soit trop tard », ce qui pourrait entraîner « une réputation et une perte financière majeures ».
En outre, un document interne de septembre 2020 partagé avec Brown et d’autres indiquait que « le volume de les problèmes de sécurité identifiés au cours du mois dernier ont [sic] a dépassé la capacité des équipes d’ingénierie à résoudre.
« Les déclarations publiques de SolarWinds sur ses pratiques et ses risques en matière de cybersécurité dressent un tableau très différent des discussions et évaluations internes », affirme la plainte.
La SEC rapporte également que la société a fait une divulgation incomplète de l’attaque dans un formulaire 8-K déposé le 14 décembre 2020, après quoi le cours de ses actions a chuté d’environ 25 % au cours des deux jours suivants et de 35 % à la fin du mois.
Au cours des années qui ont suivi, l’entreprise a eu du mal à reconstruire sa réputation, les dirigeants travaillant récemment sur un changement de marque et lançant l’idée de revenir à un modèle privé.
Dans un article de blogle PDG Sudhakar Ramakrishna a déclaré que SolarWinds « s’oppose vigoureusement » à l’action de la SEC.
« La manière dont nous avons réagi à SUNBURST est exactement ce que le gouvernement américain cherche à encourager », a-t-il déclaré.
Il est donc « alarmant » que la SEC ait déposé ce que l’entreprise considère comme une « mesure d’application malavisée et inappropriée » qui représente « un ensemble de points de vue et d’actions régressifs incompatibles avec les progrès que l’industrie doit réaliser et que le gouvernement encourage ».
SUNBURST n’a mis en évidence que des problèmes de sécurité généralisés
Les experts soulignent que la SEC ne cible pas SolarWinds en raison de SUNBURST : la plainte indique que de fausses déclarations sur la sécurité auraient violé les lois sur les valeurs mobilières même si SolarWinds n’avait pas été piraté.
« Le fait qu’ils aient été ciblés n’a fait que mettre en évidence les problèmes », a déclaré Williams.
Michael Isbitski, directeur de la stratégie de cybersécurité chez Sysdiga souligné les nombreuses failles de sécurité signalées : accès à distance pour les appareils non gérés, faux pas dans la modélisation des menaces, tests d’applications Web inadéquats, politiques de gestion des mots de passe inappropriées et contrôles d’accès plus faibles.
Bien que SolarWinds ait attesté suivre les meilleures pratiques de sécurité courantes, telles que le cadre de cybersécurité du NIST, les contrôles de sécurité et de confidentialité du NIST pour les systèmes d’information et les organisations et le cycle de vie de développement sécurisé (SDL), les preuves semblent montrer qu’ils présentaient des lacunes importantes dans le respect de tous les critères pour toutes les applications. et les systèmes, a déclaré Isbitski. Cela a créé des problèmes importants qui n’ont pas été divulgués de manière appropriée et ont induit les investisseurs en erreur.
« L’un des points clés à retenir ici est de choisir une norme et de s’assurer que vous la suivez universellement », a-t-il déclaré.
Les ramifications durables de SUNBURST
Cela ne veut pas dire que SUNBURST n’a pas radicalement changé le secteur de la cybersécurité.
« L’attaque SUNBURST a changé notre industrie à bien des égards », a déclaré Gerchow.
Cela a notamment attiré l’attention sur l’importance de la sécurité de la chaîne d’approvisionnement. « Les organisations sont désormais plus conscientes des risques potentiels associés aux logiciels tiers et prennent des mesures pour améliorer leurs pratiques de sécurité », a-t-il déclaré.
L’attaque a également mis en évidence la nécessité d’une surveillance continue et d’une détection des menaces, incitant les organisations à investir dans des outils et des technologies avancés. Enfin, et c’est peut-être le plus important, il a attiré l’attention des régulateurs.
« Cela pourrait entraîner des exigences plus strictes pour les organisations afin de garantir la sécurité de leurs chaînes d’approvisionnement », a déclaré Gerchow.
La SEC établit une nouvelle norme
Cette affaire souligne l’importance de l’honnêteté quant à l’état et à la maturité des programmes de cybersécurité, en particulier pour les entreprises cotées en bourse, soulignent les experts.
Expertise pertinente, processus de cybersécurité et historique de incidents de sécurité doivent être divulgués conformément aux règles de divulgation de la SEC en matière de cybersécurité, a déclaré Isbitski. Celles-ci existent sous différentes formes depuis plus d’une décennie, la dernière version devenant pleinement applicable en décembre 2023.
De plus, être ouvert et honnête est tout simplement une bonne pratique commerciale. « La transparence est cruciale pour maintenir la confiance des clients, des partenaires et des parties prenantes », a déclaré Gerchow.
Lorsqu’une violation se produit, il est important d’informer ceux qui pourraient être concernés afin qu’ils puissent prendre les précautions nécessaires et se protéger, a-t-il souligné. En étant ouvertes au sujet d’une violation, les entreprises montrent leur engagement envers la sécurité de leurs clients et font preuve de responsabilité.
Le collègue de Gerchow, Jake Williams, ancien pirate informatique de la National Security Agency (NSA) des États-Unis et membre du corps professoral de l’IANC Research, a déclaré que « la SEC établit une nouvelle norme en matière de divulgation de sécurité avec ce procès ».
Il a mis en garde : « Ne soyez pas surpris de voir cette norme utilisée dans un litige si vous faites des déclarations fausses, incomplètes ou trompeuses sur la sécurité à des clients ou à des partenaires commerciaux. »
De plus, les avis Wells – intentions de facturation – sont généralement émis aux PDG et directeurs financiers, a déclaré Sivan Tehila, PDG de la plateforme de cybersécurité. Onyxie. Mais dans ce cas, le RSSI Brown est explicitement inclus.
« Cela pourrait entraîner de nouvelles responsabilités pour les responsables de la cybersécurité », a déclaré Tehila.
Garder un œil sur le dossier SolarWinds au fur et à mesure de son déroulement
Les RSSI devraient garder un œil attentif sur l’affaire, conseillent les experts en cybersécurité.
Tout d’abord, il rappelle les conséquences juridiques et réglementaires potentielles qui peuvent découler d’une incidents de cybersécurité, a déclaré Gerchow. Comprendre ces accusations et l’issue éventuelle de l’affaire peut aider les responsables de la sécurité à évaluer les risques potentiels auxquels ils peuvent être confrontés dans des situations similaires et à prendre des mesures préventives proactives.
« Les RSSI devraient analyser les allégations spécifiques formulées par la SEC et évaluer si leur propre organisation présente des vulnérabilités ou des lacunes similaires », a déclaré Gerchow. « Cela peut les aider à identifier les domaines à améliorer et à renforcer leur posture de cybersécurité. »
Il a conseillé aux RSSI d’étudier les actions de réponse aux incidents de SolarWinds pour évaluer leur efficacité. L’examiner comme cas d’utilisation peut les aider à améliorer leurs propres plans de réponse aux incidents, y compris les stratégies de communication, les mesures de confinement et les processus de récupération. Il est tout aussi important que les responsables de la sécurité renforcent les comportements éthiques au sein de leurs organisations.
Isbitski a accepté, affirmant que les entreprises et leurs dirigeants devraient suivre le procès au fur et à mesure qu’il se déroule, « car il s’agit de l’un des premiers tests de combat des règles finales de cybersécurité ».
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur la technologie et les transactions d’entreprise transformatrices. Découvrez nos Briefings.
