Services Managés
Pure Player Microsoft
Services Managés
Pure Player Microsoft

🔓 SolarWinds & Sunburst : Quelles responsabilitĂ©s lĂ©gales du RSII ?

🔓 SolarWinds & Sunburst : Quelles responsabilitĂ©s lĂ©gales du RSII ?
Margot ARENE Margot ARENE
Arcatemblog
6 février 2024

Le 30 octobre 2023, un peu plus de trois ans aprĂšs l’avĂšnement retentissant de Sunburst et SolarWinds, la Securities and Exchange Commission (SEC) a rendu public les conclusions de son enquĂȘte.

Retour sur cet événement et les enjeux qui en découlent !

Rappel du contexte

En amont du dĂ©veloppement des apports et points d’intĂ©rĂȘts du communiquĂ© de presse de la SEC, il semble, en premier lieu, important de revenir sur ces Ă©vĂ©nements marquants de fin 2020.

Le dimanche 13 dĂ©cembre 2020, le mĂ©dia d’investigation Reuters rĂ©vĂ©lait au grand public que plusieurs branches du gouvernement amĂ©ricain ainsi que la sociĂ©tĂ© de cybersĂ©curitĂ©, Fire Eye, Ă©taient victimes d’une cyber-attaque massive.

NommĂ©e  » Sunburst « , cette attaque – soutenue selon les protagonistes par des acteurs Ă©tatiques – a eu pour objectif d’espionner et, donc, de lire une grande partie des Ă©changes e-mails du gouvernement, incluant les e-mails confidentiels ; mais aussi de voler outils et technologies.

Le logiciel espion a réussi à subsister dans les réseaux plus de deux ans et a touché presque 18 000 organisations dans le monde entier.

Afin de parfaire leur coup et de rĂ©ussir Ă  cibler les acteurs clĂ©s du gouvernement amĂ©ricain, les attaquants ont ainsi misĂ© sur la « supply chain ». Autrement dit, viser un sous-traitant ou tout autre acteur de la chaĂźne d’approvisionnement de la cible et de s’en servir comme d’un cheval de Troie pour toucher les acteurs principaux.

Dans le cas prĂ©sent, c’est la sociĂ©tĂ© SolarWinds, fournisseur de logiciels amĂ©ricain comptant plus de 350 000 clients dans le monde, qui a Ă©tĂ© choisie pour servir de porte d’entrĂ©e. Plus prĂ©cisĂ©ment, c’est la plateforme Orion, utilisĂ©e pour centraliser la surveillance, l’analyse et la gestion de toute l’informatique d’une entreprise qui a Ă©tĂ© ciblĂ©e pour introduire la vulnĂ©rabilitĂ©. En effet, cette solution est utilisĂ©e par de grandes institutions publiques Ă  travers le monde, et par 450 des 500 plus grandes entreprises mondiales. On comprend, donc, aisĂ©ment, les raisons qui ont poussĂ© les attaquants Ă  prioriser cet outil.

ConcrĂštement, les pirates ont donc saisi l’opportunitĂ© d’une mise Ă  jour de cette solution pour y introduire une backdoor puis le code malveillant. L’ensemble des entreprises ayant mis Ă  jour Orion ont, donc, directement, mais, inconsciemment, introduit la vulnĂ©rabilitĂ© dans leur SystĂšme d’Information.

Le rapport de la SEC

Suite Ă  l’ampleur et aux multiples impacts de cette cyberattaque, la SEC a rendu les conclusions de son enquĂȘte et a notamment annoncĂ© des accusations Ă  « l’encontre de la sociĂ©tĂ© de logiciels SolarWinds Corporation et de son Responsable de la sĂ©curitĂ© de l’information, Timothy G. Brown, pour fraude et manquements aux contrĂŽles internes liĂ©s Ă  des risques et vulnĂ©rabilitĂ©s de cybersĂ©curitĂ© prĂ©tendument connus ».

La SEC a Ă©galement demandĂ© une injonction permanente, une restitution avec intĂ©rĂȘts avant jugement, des sanctions civiles et une interdiction d’exercer les fonctions de dirigeant et d’administrateur Ă  l’encontre de M. Brown.

Afin de comprendre comment sont prises les décisions de la SEC et les enjeux qui en découlent, il est important de saisir les réalités de cette autorité et son mode de fonctionnement.

La SEC est une autorité fédérale indépendante chargée de réglementer les marchés financiers, de garantir leur bon fonctionnement et de protéger les investisseurs. Elle a été créée en 1934 à la suite de la crise financiÚre historique de 1929.

Les compétences de la SEC sont ainsi multiples :

  • Pouvoir lĂ©gislatif : La SEC peut adopter des normes applicables aux acteurs de ces marchĂ©s. Les rĂšgles adoptĂ©es par la SEC ne sont pas vĂ©rifiĂ©es a priori par une quelconque autoritĂ© sauf lorsqu’elles sont d’une importance capitale.
  • Pouvoir de sanction : La SEC peut prononcer des sanctions civiles comme des injonctions ou des amendes. Elle peut Ă©galement prendre l’initiative d’une action en justice par l’intermĂ©diaire de sa division chargĂ©e de l’application du droit pour toute sanction en dehors de sa compĂ©tence. D’abord, la division enquĂȘte de façon confidentielle sur une Ă©ventuelle violation du droit fĂ©dĂ©ral des valeurs mobiliĂšres. Le rĂ©sultat est ensuite prĂ©sentĂ© aux cinq « commissioners » qui donnent ensuite un ordre formel d’investigation ou non. La division recommande enfin, si nĂ©cessaire, une action en justice devant une U.S. District Court (tribunal fĂ©dĂ©ral de premiĂšre instance) ou un juge spĂ©cial (administrative judge) ou transige au nom de la SEC.

Le communiquĂ© de presse de la SEC prĂ©sente en quelques paragraphes Ă  la fois les conclusions de leur enquĂȘte mais aussi le contenu de la plainte dĂ©posĂ©e. La SEC fait en effet Ă©tat des manquements et de la tromperie exercĂ©e par SolarWinds Ă  l’encontre de ses clients et investisseurs.

Les deux acteurs que sont SolarWinds (personne morale) et Timothy G. Brown (Responsable de la sĂ©curitĂ© de l’information), ont ainsi Ă©tĂ© accusĂ©s de « fraude et manquements aux contrĂŽles internes liĂ©s Ă  des risques et vulnĂ©rabilitĂ©s de cybersĂ©curitĂ© prĂ©tendument connus ».

Le rapport prĂ©cise Ă©galement que la sociĂ©tĂ© et M. Brown Ă©taient au courant et ont reconnu en interne les divers manquements existants en matiĂšre de cyber sĂ©curitĂ©. Ils ont Ă©galement en conscience prĂ©sentĂ© des dĂ©clarations tronquĂ©es et incomplĂštes quant aux consĂ©quences de l’attaque et Ă  l’état de leur SI.

Comme évoqué précédemment, la SEC a condamné deux acteurs distincts :

  • La personne morale qu’est l’entreprise SolarWinds.
  • La personne privĂ©e de M. Timothy Brown, Responsable de la sĂ©curitĂ© de l’information de SolarWinds.

Aux États-Unis, ce n’est pas la premiĂšre fois qu’un CISO est condamnĂ© pour avoir dissimulĂ© des fuites de donnĂ©es ou des failles de sĂ©curitĂ©. En mai 2023, l’ancien Responsable de la sĂ©curitĂ© d’Uber a Ă©tĂ© reconnu coupable d’avoir dissimulĂ© une violation de donnĂ©es concernant des millions d’enregistrements d’utilisateurs et a Ă©tĂ© condamnĂ© Ă  50 milles dollars d’amende et 3 ans de mise Ă  l’épreuve.

Le rapport et les dĂ©cisions de la SEC viennent confirmer cette volontĂ© de responsabiliser entreprises et CISOs et, par consĂ©quent, d’oeuvrer en faveur d’une plus grande transparence Ă  ce sujet. Les sanctions prononcĂ©es par la SEC veulent servir d’exemple. En outre, et Ă  la suite de ces Ă©vĂ©nements, il est dĂ©sormais obligatoire de dĂ©clarer Ă  ce mĂȘme organisme tous les incidents de sĂ©curitĂ©.

Dans une autre mesure, il nous semblait Ă©galement important de souligner que les attaquants se sont immĂ©diatement emparĂ©s de cet enjeu. DĂšs lors, Ă  l’image du data brokerage, ces derniers ont dĂ©cidĂ© de faire pression sur les organisations n’ayant pas dĂ©clarĂ© Ă  la SEC leurs incidents de sĂ©curitĂ© afin de les encourager Ă  payer la rançon, comme le montrent les extraits ci-dessous :

Exemple d’entreprise cybercriminelle utilisant les nouvelles obligations de dĂ©claration Ă  la SEC pour faire pression sur leur victime et les inciter Ă  payer la rançon.

Les enjeux de la décision de la SEC en France

Si la majoritĂ© des exemples Ă©voquĂ©s sont amĂ©ricains, il reste primordial de s’interroger sur les impacts de cette dĂ©cision dans l’hexagone.

En France, Ă  ce jour, il n’y a pas de procĂ©dures similaires connues. Les condamnations, pour certaines mĂ©diatiques, peuvent concerner :

  • Sur un plan administratif : Les entreprises et organismes sur lesquels pĂšsent, en premier lieu, les obligations de sĂ©curitĂ© des donnĂ©es et logiciels, comme en tĂ©moigne Ă  titre d’exemple, l’affaire Dedalus Biologie. La CNIL a sanctionnĂ© lourdement (1 500 000 euros d’amende) un Ă©diteur de logiciel de santĂ©, Dedalus Biologie, pour des manquements Ă  l’obligation de sĂ©curitĂ©, illustrant ainsi les attentes rigoureuses en matiĂšre de protection des donnĂ©es personnelles [les manquements ayant causĂ© une fuite de donnĂ©es de santĂ© touchant un demi-million de personnes]. Cette condamnation est particuliĂšrement sĂ©vĂšre au regard des enjeux mais n’est pas unique puisque la CNIL prononce des sanctions pour manquement Ă  la sĂ©curitĂ© plusieurs dizaines de fois par an (y compris Canal +, Free, Uber
).
  • Sur un plan pĂ©nal : Des salariĂ©s dont l’indĂ©licatesse dĂ©passe la nĂ©gligence. En effet, en France, le Code pĂ©nal prĂ©voit notamment une peine de cinq ans d’emprisonnement et 300 000 euros d’amende, pour ceux qui procĂšdent Ă  un traitement de donnĂ©es sans mettre en oeuvre les mesures de sĂ©curitĂ© prescrites. Bien que ces sanctions puissent thĂ©oriquement s’appliquer Ă  des salariĂ©s, elles requiĂšrent une intention de nuire et sont souvent associĂ©es Ă  des actes dĂ©libĂ©rĂ©ment malveillants.

Ainsi, des exemples de condamnations individuelles existent, sur diffĂ©rents fondements, mais dans des circonstances particuliĂšres telles que le cas d’un PDG falsifiant des Ă©tiquetages ou des salariĂ©s utilisant leurs accĂšs de maniĂšre frauduleuse, par exemples :

  1. Un salariĂ© d’Air France ayant abusĂ© de ses accĂšs pour faire annuler des rĂ©servations de billets d’avion pour obtenir des billets Ă  son profit et Ă  celui de sa famille (CA Paris, 19 fĂ©vrier 2010).
  2. La condamnation d’EDF (1,5 millions d’euros d’amende) mais aussi de deux anciens des plus hauts Responsables de la sĂ©curitĂ© d’EDF pour complicitĂ© (3 ans de prison dont 2 ans ou 2,5 ans avec sursis respectivement) pour avoir recrutĂ© un cabinet de consultant, lui-mĂȘme ayant recrutĂ© un hacker pour espionner Greenpeace ; ces faits ont Ă©tĂ© dĂ©couverts Ă  l’occasion d’une enquĂȘte sur d’autres faits auprĂšs du mĂȘme hacker (Tribunal correctionnel de Nanterre, 10 novembre 2011).

En conclusion, les autoritĂ©s françaises semblent se concentrer pour l’heure sur la responsabilitĂ© des entreprises en matiĂšre de sĂ©curitĂ© des donnĂ©es laissant les individus tels que les RSSI relativement Ă©pargnĂ©s sur le plan pĂ©nal (sauf cas particulier). Pour autant, leur responsabilitĂ© au quotidien n’est pas Ă©pargnĂ©e ! Alors que la protection des donnĂ©es reste au coeur des prĂ©occupations, il est essentiel pour eux de suivre l’Ă©volution de la lĂ©gislation et des pratiques en matiĂšre de cybersĂ©curitĂ© pour garantir une protection optimale des informations sensibles. Toutefois, l’adoption de la directive europĂ©enne NIS2 pourrait changer la donne !

La responsabilité des RSSI face à NIS2

En effet, cette norme favorise la coopĂ©ration entre les États membres en matiĂšre de cybersĂ©curitĂ© mais introduit aussi des sanctions (administratives, rĂ©putationnelles, individuelles, financiĂšres et commerciales) pour les organisations qui ne respecteraient pas les prĂ©rogatives de la directive europĂ©enne.

La responsabilitĂ© du CISO / RSSI est, en ce sens, d’autant plus importante. Il pourra dĂšs lors ĂȘtre dĂ©terminĂ© comme faute intentionnelle de la part du RSSI le fait de ne pas agir directement pour protĂ©ger le SI (pentest, analyse de risque, phishing, formation, etc.). S’il n’y a pas la volontĂ© de nuire, le seul fait de nĂ©gliger le SI et de ne pas entreprendre d’actions de cyberprotection pourra ĂȘtre retenu contre ce dernier. En consĂ©quence, NIS2 pourrait introduire directement et indirectement de nouvelles responsabilitĂ©s pour le RSSI. Ainsi, si l’on se rĂ©fĂšre Ă  l’adage « Nul n’est censĂ© ignorer la loi », il est primordial de suivre au plus prĂšs l’actualitĂ© de l’implĂ©mentation de NIS2 en droit français et d’entreprendre des actions de sĂ©curisation de son SI.

Pour poursuivre dans cette direction, il convient Ă©galement de s’interroger sur les enjeux et consĂ©quences de cette responsabilisation accrue des RSSI.

Portons, dans un premier temps, notre attention sur le poste en lui-mĂȘme. En effet, force est de constater que le recrutement de RSSI reste trĂšs difficile. Le manque de personnel et compĂ©tences n’est plus Ă  prouver pour ce secteur. Il est alors pertinent de se demander si cette pĂ©nurie ne va pas ĂȘtre amenĂ©e Ă  s’accroĂźtre avec la hausse des responsabilitĂ©s qui incombent aux RSSI. D’ailleurs, ce risque s’accompagne d’une autre menace, celle de la dĂ©sertion de ces professionnels dĂ©jĂ  en poste face aux risques de leur profession, aux salaires non revalorisĂ©s en consĂ©quence mais aussi Ă  la charge de travail dĂ©cuplĂ©e. On va, en effet, demander aux RSSI de documenter chaque dĂ©cision et action afin de pouvoir se dĂ©fendre en cas de litige. Cette surcharge de travail est donc un nouveau problĂšme Ă  anticiper et Ă  gĂ©rer.

En lien avec le premier enjeu Ă©voquĂ©, il est Ă©galement important de mentionner le stress et l’anxiĂ©tĂ© au travail subis par le RSSI. Beaucoup craignent ainsi d’ĂȘtre « mis sur le bĂ»cher » Ă  la suite d’un incident grave, ce qui s’ajoute Ă  l’anxiĂ©tĂ© mentale de la sĂ©curitĂ© opĂ©rationnelle qui est une bataille constante 24/7/365 contre les menaces et les acteurs de cette menace. Ces inquiĂ©tudes sont souvent aggravĂ©es par la conviction que « le conseil d’administration n’adhĂšre pas Ă  la sĂ©curitĂ© » tant pour des questions de technicitĂ© (et donc manque de praticitĂ©) que de budget. DĂšs lors, dans quelle mesure peut-on condamner un RSSI si sa direction ne prend pas au sĂ©rieux la menace et n’investit pas assez dans sa sĂ©curitĂ© ?

Somme toute, cette affaire reste un chamboulement notamment aux États-Unis. Le cas SolarWinds va nĂ©cessairement contraindre davantage les directions Ă  Ă©couter les RSSI et Ă  prendre les chantiers de cyber protection au sĂ©rieux.

Quelques nuances

Face Ă  l’ensemble des Ă©lĂ©ments d’alerte Ă©voquĂ©s, il demeure important d’apporter quelques Ă©lĂ©ments de nuance. En premier lieu, il y a peu de chances que les RSSI en dehors des États-Unis s’appuient sur une analyse jurisprudentielle et comparative de leurs risques juridiques par rapport Ă  ceux de SolarWinds.

Cependant, ce cas ouvre des rĂ©flexions sur la crĂ©ation de couvertures d’assurance responsabilitĂ© civile pour les RSSI et sur l’accĂšs Ă  des conseils juridiques indĂ©pendants.

Il convient enfin de rappeler que M. Brown (CISO de SolarWinds) a Ă©tĂ© condamnĂ© car il a continuĂ© Ă  transmettre et/ou Ă  gĂ©nĂ©rer des affirmations selon lesquelles la situation en matiĂšre de sĂ©curitĂ© Ă©tait saine, ce qui n’était pas le cas !

Préconisations

En définitive et à la lueur de ces enjeux, il est primordial pour les entreprises et investisseurs de restaurer la confiance. Quelques conseils en ce sens :

  • Faire auditer son systĂšme (audit et/ou Pentest) de maniĂšre annuelle par un acteur indĂ©pendant.
  • Établir une politique de sensibilisation auprĂšs de tous les collaborateurs, et, notamment, la Direction GĂ©nĂ©rale et le top management.
  • OpĂ©rer des campagnes de Phishing rĂ©currentes sur l’annĂ©e.
Related Posts
Aller au contenu principal