Avant de rejoindre Uber En tant que chef de la sécurité en 2015, Joe Sullivan a été pendant deux ans procureur fédéral au ministère de la Justice des États-Unis, où il s’est spécialisé dans le piratage informatique et les questions de propriété intellectuelle. Il a travaillé sur un certain nombre d’affaires très médiatisées, depuis la première affaire de poursuites aux États-Unis en vertu du Digital Millennium Copyright Act jusqu’à la poursuite d’un pirate informatique qui a violé le Jet Propulsion Laboratory de la NASA.
Plus de 20 ans après avoir rejoint le gouvernement américain pour aider les organisations à se défendre contre les soi-disant méchants, Sullivan s’est retrouvé de l’autre côté du système judiciaire.
En octobre 2022, un jury de San Francisco l’a déclaré coupable des accusations d’entrave à une procédure officielle et de mauvaise interprétation d’un crime (une infraction de non-déclaration d’un acte répréhensible). En mai de cette année, Sullivan a été condamné à trois ans de probation.
L’ironie n’a pas échappé à Sullivan, qui s’est entretenu avec TechCrunch à Londres cette semaine avant son discours d’ouverture à la conférence sur la cybersécurité Black Hat Europe.
Cette affaire sans précédent concerne une violation des systèmes d’Uber en 2016, où des pirates ont menacé d’exposer les données de 50 millions de clients et chauffeurs d’Uber. Le verdict portait principalement sur la décision d’Uber de ne pas signaler la violation à la Federal Trade Commission, la société ayant été mandatée pour signaler toutes les violations après qu’un piratage de ses systèmes en 2014 ait révélé les noms et les numéros de permis de conduire de 50 000 personnes.
L’affaire ne s’est pas déroulée comme Sullivan, qui a été licencié d’Uber en 2017, l’avait prévu.
« Nous pensions que nous allions gagner le procès. Nous avons à peine présenté une défense parce que mes avocats disaient : « Nous n’en avons pas besoin ». Je n’ai pas témoigné, donc le jury ne m’a jamais vu. Ils viennent de voir le dirigeant anonyme d’Uber portant un masque », a déclaré Sullivan à TechCrunch lors de l’interview de mercredi.
Le verdict, le premier du genre, a d’abord frappé durement Sullivan. « Quand j’ai perdu mon procès en octobre dernier, j’étais dans un état de déprime, je ne voulais parler à personne et je ne savais pas ce qui allait arriver à ma vie », a-t-il déclaré. « Je voulais juste me rouler en boule. »
Le cas de Sullivan a également suscité l’inquiétude parmi ses collègues OSC et RSSI, dont un certain nombre ont écrit des lettres au juge chargé de la détermination de la peine, William Orrick, saluant les actions de Sullivan et exprimant leurs craintes qu’eux aussi puissent faire face à des sanctions légales pour le simple fait de faire leur travail.
« Le cas de Joe a eu un impact énorme sur la communauté de la cybersécurité », lit-on dans une lettre signée par plus de 50 RSSI. « Cela a fait l’objet de fréquentes conversations au sein de l’équipe de direction et de tables rondes lors de séminaires de l’industrie, et a été un moteur important des efforts visant à modifier les politiques et les pratiques pour pécher par excès de divulgation, même lorsque l’obligation légale de le faire reste en suspens. »
Ces craintes ont duré bien au-delà de la conviction de Sullivan. L’ancien CSO d’Uber, qui travaille maintenant en tant que PDG d’une organisation à but non lucratif dédiée à fournir une aide humanitaire et technologique au peuple ukrainien, a déclaré à TechCrunch qu’il reçoit chaque semaine des appels de professionnels de la sécurité lui demandant s’ils doivent rester dans l’industrie et s’ils doivent prendre des entretiens pour des postes de plus haut rang qui comportent de plus grandes responsabilités et de plus grands risques.
« Ce que je dis maintenant aux responsables de la sécurité, c’est qu’ils ne devraient pas fuir leur travail, mais qu’ils devraient y courir », a déclaré Sullivan, soulignant que l’anxiété partagée par les professionnels de la cybersécurité, ainsi que le fait qu’il voulait être un «meilleure personne» est en partie la raison pour laquelle il voulait commencer à parler de l’affaire de violation de données Uber.
« J’ai réalisé que partager ce que j’ai vécu était mieux qu’autrement et plus sain pour moi. Il m’a fallu un an pour dire cela, mais c’est la bonne façon de procéder », a déclaré Sullivan à TechCrunch. « J’étais très amer, mais je veux être une meilleure personne. Je veux aussi continuer à faire partie du monde de la sécurité, donc je dois m’en remettre.
Sullivan a déclaré à TechCrunch qu’une autre raison pour laquelle il tient à s’exprimer est le fait qu’il y a eu « 100 webinaires, organisés par 100 avocats, disant que « vous ne finirez pas comme Joe si vous avez une assurance, si vous apportez des services juridiques et de relations publiques ». dans la pièce, ou si vous avez une politique de responsabilité en cas de violation.
«Nous avons fait toutes ces choses [at Uber] », a déclaré Sullivan. « Nous avions une assurance ; il existait une politique de réponse aux violations de données ; nous avons fait une boucle dans les relations publiques et le PDG [Travis Kalanick] J’ai tout signé, y compris le montant en dollars », a-t-il ajouté, faisant référence au paiement de 100 000 $ versé aux deux jeunes hommes qui ont découvert la vulnérabilité qui a conduit à la violation d’Uber en 2016.
Lorsqu’on lui a demandé s’il pensait que le PDG d’Uber d’alors aurait dû être tenu responsable, Sullivan a répondu : « Je ne pense pas que quiconque ait fait quelque chose de mal en fin de compte. »
« Uber n’existerait pas aujourd’hui – en fait, nous prendrions encore des taxis – sans [Kalanick] et sa force pure », a ajouté Sullivan. « Du côté positif, il a apporté un certain changement dans le monde. Cependant, sa philosophie était que celui qui lançait le premier coup de poing gagnait le combat.
Réparer une industrie en panne
Dans ce que Sullivan décrit comme « la plus grande ironie de sa carrière », une partie de son rôle au ministère de la Justice l’a amené à travailler en étroite collaboration avec des organisations de la Silicon Valley afin d’encourager une plus grande collaboration avec le gouvernement. « C’est l’histoire de ma carrière ; essayer de faire travailler ensemble les secteurs public et privé.
Sullivan estime qu’à l’avenir, cette collaboration entre les secteurs public et privé, associée à une réglementation stricte, est le seul moyen de réparer l’industrie « brisée » de la cybersécurité.
« Quand j’ai rejoint, [Uber] avait la pire sécurité parmi toutes les entreprises de 40 milliards de dollars, et elle ne peut plus voler dans le monde. Si vous envisagez de vendre un produit, votre sécurité doit être suffisamment bonne le jour où vous le vendez », a déclaré Sullivan. « Je pourrais être très amer à l’idée d’une réglementation gouvernementale puisque je suis réglementé, mais je pense aussi que nous en avons besoin pour qu’Internet fonctionne bien à l’avenir. »
Sullivan a salué les règles de divulgation des violations de données entrantes de la US Security and Exchange Commission, qui entrent en vigueur le 15 décembre, notant que même si elles ne sont pas parfaites, elles sont bien meilleures que de n’avoir aucune directive. « Nous pouvons pinailler les détails autant que nous le souhaitons, mais c’est la bonne façon de procéder », a-t-il déclaré. « Je semble être la personne qui critique moins la SEC que tout le monde parce que je pense que nous devrions la féliciter d’avoir essayé d’établir des règles. »
Quant aux OSC et RSSI, dont beaucoup craignent encore d’être tenus personnellement responsables des failles de sécurité de leur organisation, Sullivan estime que le moment est venu de s’exprimer afin de façonner toute réglementation future.
« Nous devons nous relever, nous devons apprendre l’aspect politique et nous devons apprendre à faire entendre notre voix », a déclaré Sullivan à TechCrunch. «Je pense que nous devons former des leaders qui peuvent être de véritables leaders sociétaux et experts dans notre métier.»