Sudhakar Ramakrishna était assis à un repas d’anniversaire avec sa famille lorsqu’il a reçu l’appel : SolarWinds avait subi une cyberattaque à grande échelle. La date était le 12 décembre 2020 et Ramakrishna devait devenir PDG dans quelques semaines.
L’étendue et la gravité de l’incident n’étaient pas immédiatement apparentes, mais il lui restait encore une décision à prendre. Abandonnerait-il le navire, qui avait provoqué une fuite sous la direction du capitaine précédent, ou saisirait-il un seau et commencerait-il à renflouer ?
Un certain nombre de proches confidents ont conseillé à Ramakrishna d’abandonner le poste, tandis que d’autres ont suggéré ses compétences et son expérience dans la cyber-sécurité fait de lui la personne idéale pour présider la reprise.
Bien qu’il ait pris un temps pour examiner ses options, la décision de maintenir le cap a finalement été simple, a déclaré Ramakrishna. Tech Radar Pro. Le conseil d’administration a été informé qu’il reculerait s’il était décidé que SolarWinds bénéficierait de la continuité, mais qu’il était par ailleurs prêt à piloter l’entreprise à travers la crise.
Dans les semaines qui ont suivi, Ramakrishna a commencé à collaborer avec l’équipe de direction dans les coulisses. La première priorité était de savoir exactement ce qui s’était passé et comment, et la seconde était de formuler un plan d’action que SolarWinds pourrait apporter à ses clients, partenaires et à la presse.
« L’idée qu’une attaque peut arriver à n’importe qui est devenue plus répandue, mais cela ne vous dispense pas du fait que cela vous est arrivé », a-t-il déclaré. « Chaque entreprise connaîtra une crise ou deux, mais ce qui compte, c’est la réaction de la direction. »
Un début mouvementé
L’attaque elle-même avait en fait commencé plusieurs mois plus tôt, en septembre 2019, lorsqu’un groupe sophistiqué de cybercriminels soupçonnés d’avoir des liens avec l’État russe avait eu accès pour la première fois au réseau SolarWinds.
Les acteurs de la menace ont fait preuve d’une patience remarquable, se cachant à la vue de tous pendant qu’ils dressaient un tableau complet de l’infrastructure de SolarWinds et du processus de développement de produits de l’entreprise.
Parmi les différents produits SolarWinds, les attaquants étaient particulièrement intéressés par un service de surveillance des performances informatiques appelé Orion, qui a besoin d’un accès privilégié aux systèmes du client pour fonctionner comme prévu.
Après un premier test, les pirates ont injecté un malware souche connue sous le nom de SUNBURST dans une mise à jour du logiciel Orion à un moment donné entre mars et juin 2020. L’empoisonné correctif a été livré à environ 18 000 clients SolarWinds, donnant aux attaquants un accès pratiquement illimité aux réseaux des agences gouvernementales, des sociétés de sécurité et des entreprises multinationales.
« L’industrie n’est pas nouvelle dans les problèmes de sécurité, mais chacun a sa propre tournure et sa propre signification – et cela était important à sa manière », a déclaré Ramakrishna.
« Le métier utilisé pour créer la brèche n’était pas banal, c’était une attaque de la chaîne d’approvisionnement. Il s’agit d’un concept bien connu dans le domaine de la sécurité, mais pas bien exercé. »
Ce qui rend une attaque de ce type si difficile à détecter, a-t-il expliqué, c’est que l’auteur de la menace n’a besoin de modifier qu’un seul des milliers de fichiers pour mener à bien une attaque qui aboutit à la compromission d’un grand nombre de cibles.
Au final, le groupe a choisi de n’infiltrer qu’un sous-ensemble des organisations compromises – dont Microsoft, Cisco, VMware, Intel et un certain nombre d’agences fédérales américaines – mais l’attaque a néanmoins été décrite comme l’une des plus importantes de l’histoire.
Lorsque SolarWinds a été alerté de l’incident par la société de sécurité FireEye, qui avait détecté une activité inhabituelle sur son propre réseau, l’entreprise est passée en mode crise. Et c’est dans ce climat que Ramakrishna a franchi les portes lors de sa première journée officielle en charge.
Cependant, alors que le moral du personnel était comme on pouvait s’y attendre et que les conversations avec les clients en colère étaient souvent difficiles, la crise a au moins fourni une plate-forme sur laquelle Ramakrishna pouvait s’appuyer.
« À certains égards, il est plus facile d’apporter des changements au milieu d’une crise », nous a-t-il dit. « Quand tout est parfait, il y a beaucoup de résistance, mais quand une entreprise est sous le choc, les gens sont réceptifs aux nouvelles idées. »
Le 7 janvier 2021, Ramakrishna a publié un article de blog qui décrivait ce qui avait été appris sur l’attaque jusqu’à présent, proposait des mesures immédiates pour aider les clients à naviguer dans l’incident et définissait un nouveau cadre pour empêcher qu’une attaque similaire ne se reproduise à l’avenir.
Le casse-tête de la chaîne d’approvisionnement
Bien que SolarWinds ait réussi à se redresser au cours des douze derniers mois, la fidélisation de la clientèle revenant maintenant à peu près aux niveaux d’avant l’attaque, l’incident a eu de graves effets sur les résultats de l’entreprise.
Au lieu de canaliser les ressources vers le développement de produits, les ventes et la génération de la demande comme le ferait une entreprise normale, l’entreprise a été forcée de passer en mode de récupération, avec sa réputation en lambeaux.
Ramakrishna et son équipe de direction ont divisé la liste des clients et ont commencé à rencontrer nombre d’entre eux individuellement, à la fois pour s’excuser et expliquer ce qui s’était passé, et pour les aider à déterminer si leurs propres réseaux avaient été piratés.
Il a décrit cela comme une partie très inconfortable mais essentielle du «processus de guérison» qui a finalement ouvert la voie à un retour aux opérations commerciales normales.
Cependant, malgré les conséquences pour SolarWinds, il existe des preuves suggérant que les bonnes leçons n’ont pas été apprises par l’industrie de la cybersécurité au sens large. Depuis l’attaque, un certain nombre d’incidents similaires très médiatisés ont eu lieu, comme l’attaque Kaseya, Log4j et, encore plus récemment, la violation Okta-Lapsus$.
Lorsqu’on lui a demandé pourquoi il pensait que les attaques de la chaîne d’approvisionnement continuaient de se produire, Ramakrishna a expliqué que la nature décousue de la défense collective donne un avantage significatif à l’attaquant dès le départ.
« Ce n’est pas seulement un problème technologique, il y a beaucoup plus que cela », a-t-il déclaré. « Chacun de nous se défend contre un agresseur. Mais d’un côté, il y a une armée coordonnée avec un seul objectif, attaquer, et de l’autre, un ensemble de soldats fragmentés.
Ramakrishna a également critiqué la culture de la honte des victimes, qui, selon lui, contribue à la réticence des entreprises à partager des informations vitales.
« Il y a encore beaucoup de honte aux victimes, de sorte que les entreprises finissent souvent par résoudre les problèmes sans rien dire à leur sujet. Il y a certainement une hésitation à parler », nous a-t-il dit.
« En cas d’incident, il est important d’obtenir l’aide de la communauté. Nous devons sensibiliser les gens aux problèmes plus rapidement; cet état d’esprit doit s’imposer dans la sécurité logicielle.
Pour éviter qu’une attaque de la chaîne d’approvisionnement de cette ampleur ne se reproduise, Ramakrishna pense également que les entreprises doivent adopter un nouveau cadre de sécurité, qu’il appelle « sécurisé dès la conception ».
Le modèle comporte trois composants : la sécurité de l’infrastructure, la sécurité du système de construction et la conception du système de construction lui-même. Mais l’idée générale est de continuer à modifier la surface d’attaque, afin de ne pas fournir à un attaquant une cible fixe, et de minimiser la fenêtre d’opportunité.
Avec cet objectif à l’esprit, SolarWinds a créé un « système de construction parallèle » dans lequel son logiciel est construit dans trois emplacements distincts, qui peuvent être modifiés de manière dynamique. Le résultat de chaque construction individuelle est ensuite recoupé avec les autres pour éliminer les incohérences qui pourraient trahir une attaque.
Pour réussir à infiltrer un correctif logiciel, un intrus devrait donc lancer trois attaques simultanément, exactement au même moment et en utilisant exactement la même technique.
« C’est une chose très difficile à faire, même pour le cybercriminel le plus persistant », a déclaré Ramakrishna.
Le nouveau look de SolarWinds
Ironiquement, il a été suggéré que SolarWinds pourrait désormais être considérée comme l’entreprise la plus sûre au monde. Après tout, aucune autre organisation n’a subi le même niveau d’examen depuis la découverte de l’attaque.
Ramakrisha a refusé d’être amené à dire s’il croyait ou non que cette caractérisation était exacte, mais il a dit que c’était quelque chose que l’entreprise était « déterminée à rendre vraie ».
Fonctionnant dans le cadre de son cadre de conception sécurisé, SolarWinds cherchera désormais à s’appuyer sur ses bases en matière de surveillance informatique et à évoluer vers une entreprise capable de prendre en charge les besoins hybrides des clients, à la fois dans le nuage et sur place.
Ramakrishna a promis un niveau d’automatisation accru et des installations de visualisation et de correction supérieures qui, ensemble, aideront à résoudre les types de problèmes créés par la transformation numérique. L’objectif est de « réduire la complexité, améliorer la productivité et réduire les coûts » pour les clients, nous a-t-on dit.
Alors que quelques rayons de soleil commencent maintenant à percer le nuage suspendu au-dessus de l’entreprise, Ramakrishna est impatient de se concentrer sur ces objectifs centraux. Mais alors que notre conversation touchait à sa fin, il a également pris un moment pour mettre en garde contre la complaisance :
« Aucune entreprise, peu importe ce qu’elle fait, ne devrait croire qu’elle est à l’abri d’une attaque, car c’est une erreur », a-t-il déclaré.