Le 30 octobre 2023, un peu plus de trois ans après l’avènement retentissant de Sunburst et SolarWinds, la Securities and Exchange Commission (SEC) a rendu public les conclusions de son enquête.
Retour sur cet événement et les enjeux qui en découlent !
Rappel du contexte
En amont du développement des apports et points d’intérêts du communiqué de presse de la SEC, il semble, en premier lieu, important de revenir sur ces événements marquants de fin 2020.
Le dimanche 13 décembre 2020, le média d’investigation Reuters révélait au grand public que plusieurs branches du gouvernement américain ainsi que la société de cybersécurité, Fire Eye, étaient victimes d’une cyber-attaque massive.
NommĂ©e  » Sunburst « , cette attaque – soutenue selon les protagonistes par des acteurs Ă©tatiques – a eu pour objectif d’espionner et, donc, de lire une grande partie des Ă©changes e-mails du gouvernement, incluant les e-mails confidentiels ; mais aussi de voler outils et technologies.
Le logiciel espion a réussi à subsister dans les réseaux plus de deux ans et a touché presque 18 000 organisations dans le monde entier.
Afin de parfaire leur coup et de réussir à cibler les acteurs clés du gouvernement américain, les attaquants ont ainsi misé sur la « supply chain ». Autrement dit, viser un sous-traitant ou tout autre acteur de la chaîne d’approvisionnement de la cible et de s’en servir comme d’un cheval de Troie pour toucher les acteurs principaux.
Dans le cas présent, c’est la société SolarWinds, fournisseur de logiciels américain comptant plus de 350 000 clients dans le monde, qui a été choisie pour servir de porte d’entrée. Plus précisément, c’est la plateforme Orion, utilisée pour centraliser la surveillance, l’analyse et la gestion de toute l’informatique d’une entreprise qui a été ciblée pour introduire la vulnérabilité. En effet, cette solution est utilisée par de grandes institutions publiques à travers le monde, et par 450 des 500 plus grandes entreprises mondiales. On comprend, donc, aisément, les raisons qui ont poussé les attaquants à prioriser cet outil.
Concrètement, les pirates ont donc saisi l’opportunité d’une mise à jour de cette solution pour y introduire une backdoor puis le code malveillant. L’ensemble des entreprises ayant mis à jour Orion ont, donc, directement, mais, inconsciemment, introduit la vulnérabilité dans leur Système d’Information.
Le rapport de la SEC
Suite Ă l’ampleur et aux multiples impacts de cette cyberattaque, la SEC a rendu les conclusions de son enquĂŞte et a notamment annoncĂ© des accusations à « l’encontre de la sociĂ©tĂ© de logiciels SolarWinds Corporation et de son Responsable de la sĂ©curitĂ© de l’information, Timothy G. Brown, pour fraude et manquements aux contrĂ´les internes liĂ©s Ă des risques et vulnĂ©rabilitĂ©s de cybersĂ©curitĂ© prĂ©tendument connus ».
La SEC a Ă©galement demandĂ© une injonction permanente, une restitution avec intĂ©rĂŞts avant jugement, des sanctions civiles et une interdiction d’exercer les fonctions de dirigeant et d’administrateur Ă l’encontre de M. Brown.
Afin de comprendre comment sont prises les décisions de la SEC et les enjeux qui en découlent, il est important de saisir les réalités de cette autorité et son mode de fonctionnement.
La SEC est une autorité fédérale indépendante chargée de réglementer les marchés financiers, de garantir leur bon fonctionnement et de protéger les investisseurs. Elle a été créée en 1934 à la suite de la crise financière historique de 1929.
Les compétences de la SEC sont ainsi multiples :
- Pouvoir législatif : La SEC peut adopter des normes applicables aux acteurs de ces marchés. Les règles adoptées par la SEC ne sont pas vérifiées a priori par une quelconque autorité sauf lorsqu’elles sont d’une importance capitale.
- Pouvoir de sanction : La SEC peut prononcer des sanctions civiles comme des injonctions ou des amendes. Elle peut également prendre l’initiative d’une action en justice par l’intermédiaire de sa division chargée de l’application du droit pour toute sanction en dehors de sa compétence. D’abord, la division enquête de façon confidentielle sur une éventuelle violation du droit fédéral des valeurs mobilières. Le résultat est ensuite présenté aux cinq « commissioners » qui donnent ensuite un ordre formel d’investigation ou non. La division recommande enfin, si nécessaire, une action en justice devant une U.S. District Court (tribunal fédéral de première instance) ou un juge spécial (administrative judge) ou transige au nom de la SEC.
Le communiqué de presse de la SEC présente en quelques paragraphes à la fois les conclusions de leur enquête mais aussi le contenu de la plainte déposée. La SEC fait en effet état des manquements et de la tromperie exercée par SolarWinds à l’encontre de ses clients et investisseurs.
Les deux acteurs que sont SolarWinds (personne morale) et Timothy G. Brown (Responsable de la sĂ©curitĂ© de l’information), ont ainsi Ă©tĂ© accusĂ©s de « fraude et manquements aux contrĂ´les internes liĂ©s Ă des risques et vulnĂ©rabilitĂ©s de cybersĂ©curitĂ© prĂ©tendument connus ».
Le rapport précise également que la société et M. Brown étaient au courant et ont reconnu en interne les divers manquements existants en matière de cyber sécurité. Ils ont également en conscience présenté des déclarations tronquées et incomplètes quant aux conséquences de l’attaque et à l’état de leur SI.
Comme évoqué précédemment, la SEC a condamné deux acteurs distincts :
- La personne morale qu’est l’entreprise SolarWinds.
- La personne privĂ©e de M. Timothy Brown, Responsable de la sĂ©curitĂ© de l’information de SolarWinds.
Aux États-Unis, ce n’est pas la première fois qu’un CISO est condamnĂ© pour avoir dissimulĂ© des fuites de donnĂ©es ou des failles de sĂ©curitĂ©. En mai 2023, l’ancien Responsable de la sĂ©curitĂ© d’Uber a Ă©tĂ© reconnu coupable d’avoir dissimulĂ© une violation de donnĂ©es concernant des millions d’enregistrements d’utilisateurs et a Ă©tĂ© condamnĂ© Ă 50 milles dollars d’amende et 3 ans de mise Ă l’épreuve.
Le rapport et les décisions de la SEC viennent confirmer cette volonté de responsabiliser entreprises et CISOs et, par conséquent, d’oeuvrer en faveur d’une plus grande transparence à ce sujet. Les sanctions prononcées par la SEC veulent servir d’exemple. En outre, et à la suite de ces événements, il est désormais obligatoire de déclarer à ce même organisme tous les incidents de sécurité.
Dans une autre mesure, il nous semblait également important de souligner que les attaquants se sont immédiatement emparés de cet enjeu. Dès lors, à l’image du data brokerage, ces derniers ont décidé de faire pression sur les organisations n’ayant pas déclaré à la SEC leurs incidents de sécurité afin de les encourager à payer la rançon, comme le montrent les extraits ci-dessous :
Exemple d’entreprise cybercriminelle utilisant les nouvelles obligations de déclaration à la SEC pour faire pression sur leur victime et les inciter à payer la rançon.
Les enjeux de la décision de la SEC en France
Si la majorité des exemples évoqués sont américains, il reste primordial de s’interroger sur les impacts de cette décision dans l’hexagone.
En France, à ce jour, il n’y a pas de procédures similaires connues. Les condamnations, pour certaines médiatiques, peuvent concerner :
- Sur un plan administratif : Les entreprises et organismes sur lesquels pèsent, en premier lieu, les obligations de sĂ©curitĂ© des donnĂ©es et logiciels, comme en tĂ©moigne Ă titre d’exemple, l’affaire Dedalus Biologie. La CNIL a sanctionnĂ© lourdement (1 500 000 euros d’amende) un Ă©diteur de logiciel de santĂ©, Dedalus Biologie, pour des manquements Ă l’obligation de sĂ©curitĂ©, illustrant ainsi les attentes rigoureuses en matière de protection des donnĂ©es personnelles [les manquements ayant causĂ© une fuite de donnĂ©es de santĂ© touchant un demi-million de personnes]. Cette condamnation est particulièrement sĂ©vère au regard des enjeux mais n’est pas unique puisque la CNIL prononce des sanctions pour manquement Ă la sĂ©curitĂ© plusieurs dizaines de fois par an (y compris Canal +, Free, Uber…).
- Sur un plan pĂ©nal : Des salariĂ©s dont l’indĂ©licatesse dĂ©passe la nĂ©gligence. En effet, en France, le Code pĂ©nal prĂ©voit notamment une peine de cinq ans d’emprisonnement et 300 000 euros d’amende, pour ceux qui procèdent Ă un traitement de donnĂ©es sans mettre en oeuvre les mesures de sĂ©curitĂ© prescrites. Bien que ces sanctions puissent thĂ©oriquement s’appliquer Ă des salariĂ©s, elles requièrent une intention de nuire et sont souvent associĂ©es Ă des actes dĂ©libĂ©rĂ©ment malveillants.
Ainsi, des exemples de condamnations individuelles existent, sur diffĂ©rents fondements, mais dans des circonstances particulières telles que le cas d’un PDG falsifiant des Ă©tiquetages ou des salariĂ©s utilisant leurs accès de manière frauduleuse, par exemples :
- Un salariĂ© d’Air France ayant abusĂ© de ses accès pour faire annuler des rĂ©servations de billets d’avion pour obtenir des billets Ă son profit et Ă celui de sa famille (CA Paris, 19 fĂ©vrier 2010).
- La condamnation d’EDF (1,5 millions d’euros d’amende) mais aussi de deux anciens des plus hauts Responsables de la sĂ©curitĂ© d’EDF pour complicitĂ© (3 ans de prison dont 2 ans ou 2,5 ans avec sursis respectivement) pour avoir recrutĂ© un cabinet de consultant, lui-mĂŞme ayant recrutĂ© un hacker pour espionner Greenpeace ; ces faits ont Ă©tĂ© dĂ©couverts Ă l’occasion d’une enquĂŞte sur d’autres faits auprès du mĂŞme hacker (Tribunal correctionnel de Nanterre, 10 novembre 2011).
En conclusion, les autoritĂ©s françaises semblent se concentrer pour l’heure sur la responsabilitĂ© des entreprises en matière de sĂ©curitĂ© des donnĂ©es laissant les individus tels que les RSSI relativement Ă©pargnĂ©s sur le plan pĂ©nal (sauf cas particulier). Pour autant, leur responsabilitĂ© au quotidien n’est pas Ă©pargnĂ©e ! Alors que la protection des donnĂ©es reste au coeur des prĂ©occupations, il est essentiel pour eux de suivre l’Ă©volution de la lĂ©gislation et des pratiques en matière de cybersĂ©curitĂ© pour garantir une protection optimale des informations sensibles. Toutefois, l’adoption de la directive europĂ©enne NIS2 pourrait changer la donne !
La responsabilité des RSSI face à NIS2
En effet, cette norme favorise la coopération entre les États membres en matière de cybersécurité mais introduit aussi des sanctions (administratives, réputationnelles, individuelles, financières et commerciales) pour les organisations qui ne respecteraient pas les prérogatives de la directive européenne.
La responsabilité du CISO / RSSI est, en ce sens, d’autant plus importante. Il pourra dès lors être déterminé comme faute intentionnelle de la part du RSSI le fait de ne pas agir directement pour protéger le SI (pentest, analyse de risque, phishing, formation, etc.). S’il n’y a pas la volonté de nuire, le seul fait de négliger le SI et de ne pas entreprendre d’actions de cyberprotection pourra être retenu contre ce dernier. En conséquence, NIS2 pourrait introduire directement et indirectement de nouvelles responsabilités pour le RSSI. Ainsi, si l’on se réfère à l’adage « Nul n’est censé ignorer la loi », il est primordial de suivre au plus près l’actualité de l’implémentation de NIS2 en droit français et d’entreprendre des actions de sécurisation de son SI.
Pour poursuivre dans cette direction, il convient également de s’interroger sur les enjeux et conséquences de cette responsabilisation accrue des RSSI.
Portons, dans un premier temps, notre attention sur le poste en lui-même. En effet, force est de constater que le recrutement de RSSI reste très difficile. Le manque de personnel et compétences n’est plus à prouver pour ce secteur. Il est alors pertinent de se demander si cette pénurie ne va pas être amenée à s’accroître avec la hausse des responsabilités qui incombent aux RSSI. D’ailleurs, ce risque s’accompagne d’une autre menace, celle de la désertion de ces professionnels déjà en poste face aux risques de leur profession, aux salaires non revalorisés en conséquence mais aussi à la charge de travail décuplée. On va, en effet, demander aux RSSI de documenter chaque décision et action afin de pouvoir se défendre en cas de litige. Cette surcharge de travail est donc un nouveau problème à anticiper et à gérer.
En lien avec le premier enjeu Ă©voquĂ©, il est Ă©galement important de mentionner le stress et l’anxiĂ©tĂ© au travail subis par le RSSI. Beaucoup craignent ainsi d’être « mis sur le bĂ»cher » Ă la suite d’un incident grave, ce qui s’ajoute Ă l’anxiĂ©tĂ© mentale de la sĂ©curitĂ© opĂ©rationnelle qui est une bataille constante 24/7/365 contre les menaces et les acteurs de cette menace. Ces inquiĂ©tudes sont souvent aggravĂ©es par la conviction que « le conseil d’administration n’adhère pas Ă la sĂ©curitĂ© » tant pour des questions de technicitĂ© (et donc manque de praticitĂ©) que de budget. Dès lors, dans quelle mesure peut-on condamner un RSSI si sa direction ne prend pas au sĂ©rieux la menace et n’investit pas assez dans sa sĂ©curitĂ© ?
Somme toute, cette affaire reste un chamboulement notamment aux États-Unis. Le cas SolarWinds va nécessairement contraindre davantage les directions à écouter les RSSI et à prendre les chantiers de cyber protection au sérieux.
Quelques nuances
Face Ă l’ensemble des Ă©lĂ©ments d’alerte Ă©voquĂ©s, il demeure important d’apporter quelques Ă©lĂ©ments de nuance. En premier lieu, il y a peu de chances que les RSSI en dehors des États-Unis s’appuient sur une analyse jurisprudentielle et comparative de leurs risques juridiques par rapport Ă ceux de SolarWinds.
Cependant, ce cas ouvre des rĂ©flexions sur la crĂ©ation de couvertures d’assurance responsabilitĂ© civile pour les RSSI et sur l’accès Ă des conseils juridiques indĂ©pendants.
Il convient enfin de rappeler que M. Brown (CISO de SolarWinds) a été condamné car il a continué à transmettre et/ou à générer des affirmations selon lesquelles la situation en matière de sécurité était saine, ce qui n’était pas le cas !
Préconisations
En définitive et à la lueur de ces enjeux, il est primordial pour les entreprises et investisseurs de restaurer la confiance. Quelques conseils en ce sens :
- Faire auditer son système (audit et/ou Pentest) de manière annuelle par un acteur indépendant.
- Établir une politique de sensibilisation auprès de tous les collaborateurs, et, notamment, la Direction Générale et le top management.
- Opérer des campagnes de Phishing récurrentes sur l’année.
- …
