On pourrait penser que la cyberattaque subie par la société de sécurité informatique américaine SolarWinds, l’une des plus importantes dans l’histoire, ne concerne que les plus grandes entreprises et administrations. Ce sont elles qui ont été visées, du FBI à Microsoft en passant par la NASA. Mais nous sommes tous concernés, par les conséquences indirectes possibles et aussi parce que les erreurs des plus puissants nous éclairent sur les fautes à ne pas commettre au quotidien.
Résumons ce qui est en train de se passer. SolarWinds, qui vend de la cybersécurité à 350 000 organisations publiques et privées dans le monde, a laissé véroler son principal programme, Orion. Cette plateforme permet de centraliser la surveillance et la gestion de tout un système informatique. En septembre 2019, Orion a été pénétré par un agresseur, sans doute russe et proche des services secrets de Vladimir Poutine. L’intrus a d’abord tâté le terrain par des actions anodines vérifiant qu’elles passaient inaperçues. Puis, il a introduit un logiciel malfaisant, un malware ou maliciel, surnommé Sunburst, drôle de rayon de soleil. Et les dégâts ont commencé. Sunburst ressemble beaucoup à Kazuar, maliciel utilisé depuis au moins 2017 par des cybercriminels russes. L’attaque actuelle aurait-elle commencé plus tôt qu’on ne le croit ?
Officiellement, SolarWinds n’a rien vu jusqu’au 12 décembre dernier ! C’est une autre société de cybersécurité, FireEye, qui, elle-même vérolée, a donné l’alerte le 8 décembre. Entre-temps, depuis mars dernier, 18 000 clients de SolarWinds ont téléchargé des mises à jour d’Orion contenant SunBurst et sans doute d’autres maliciels. Cela a ouvert dans les systèmes informatiques des backdoor, des portes dérobées, fonctionnalités permettant d’agir dans un logiciel devenu cheval de Troie. L’ennemi peut ainsi voler des informations confidentielles et agir pour endommager des structures. On affirme qu’il s’agit d’une gigantesque opération d’espionnage, pas de sabotage, visant seulement des données confidentielles. Ainsi le département de la Justice américain a-t-il reconnu que les intrus avaient « siphonné plus de 3 450 boîtes de sa messagerie ». Il a décidé de revenir au papier pour les documents « très sensibles ». Mais ne nous rassurons pas trop vite. Les espions, embusqués tels des taupes dans les systèmes informatiques de milliers d’organisations, peuvent être activés, dans des mois ou des années, pour voler ou saboter. Or, parmi les vérolés il y a la Nasa, des installations militaires et nucléaires américaines ! Inquiétant !
Un ennemi patient et compétent
SolarWinds n’est que l’une des cibles de la cyberattaque. Un rapport vient de le confirmer : 30 % des victimes recensées n’ont pas utilisé Orion et ont donc été violées autrement. Avec patience, l’ennemi a monté une opération de grande envergure à long terme. Il a compris l’intérêt de frapper en amont. Plutôt que d’attaquer, une à une, des milliers d’organisations, il a vérolé les protections dont elles s’équipent. Aussi, parmi ses victimes, figurent huit fournisseurs de protections. Si vous avez acheté des équipements de cybersécurité chez FireEye, Microsoft, CrowdStrike (intrusion échouée), Mimecast, Palo Alto Networks, Qualys, Fidelis ou Malwarebytes, posez-vous des questions… Et attention aux mises à jour. Une étude de 2017 expliquait que 80 % des violations de données résultent de mises à jour mal gérées. L’on mettrait généralement sept mois pour se rendre compte de ce type de viol.
Il est facile de critiquer après coup, mais quand les fautes sont flagrantes, elles doivent être décrites pour que chacun se demande s’il n’est pas susceptible d’en commettre d’aussi grosses.
Aurions-nous commis les mêmes fautes ?
— La première question a été évoquée ici même par l’expert italien Vito Vacca et moi-même : avons-nous le courage d’entendre les alertes désagréables ? Question liée : écoutons-nous les hommes de terrain ou considérons-nous que les problèmes majeurs se traitent au sommet ? Dans notre bureau…
SolarWinds utilisait un mot de passe enfantin, solarwinds123. Faute fréquente. Dès 2017, un cadre avait adressé à trois dirigeants de SolarWinds une note expliquant que celui-ci « était une cible incroyablement facile à pirater ». Il préconisait des mesures avant que n’intervienne un accident majeur… Il a dû démissionner. Des négligences grossières étaient supportées, en matière de sécurité, dans une entreprise qui gagnait près d’un milliard par an en vendant de la sécurité aux autres. Donc gestion plus que médiocre de la qualité ! Mais comme Hervé Sérieyx, depuis des années, n’a cessé de le rappeler, la gestion de la qualité implique l’écoute et le respect des hommes de terrain.
— Notre organisation est-elle trop cloisonnée ? Travaillons-nous vraiment ensemble ? Sommes-nous cohérents dans nos actions ? Même les alertes venues de l’intérieur de l’Administration américaine n’ont pas été entendues par celle-ci ! En 2018, le Government Accountability Office (GAO), l’organisme d’audit et d’investigation du Congrès américain, mettait en garde les agences fédérales contre les risques liés aux supply chain. En vain. Une dizaine d’agences se sont laissées véroler. En 2019, au moment où démarrait discrètement l’agression contre SolarWinds, la CISA publiait une note sur le Supply Chain Risk Management. La note a été si peu exploitée en interne que la CISA allait se laisser véroler par les mises à jour venant du sommet de la supply chain… Les silos limitent aussi, explique Eric Antibi de Palo Alto Network, l’efficacité de la cybersécurité : dans beaucoup de grandes entreprises, des programmes différents sont utilisés sans que les équipes de chaque service comparent et mettent en commun leurs expériences pour progresser.
Moutons et préservatifs
— Sommes-nous des moutons de Panurge ? La cyberagression actuelle n’aurait pas été possible si des milliers d’organisations n’avaient opté pour les mêmes fournisseurs en matière de sécurité. Choisit-on le meilleur, le plus adapté à nos problèmes, ou celui qui est assez prestigieux pour que l’on ne nous tape pas sur les doigts en cas de pépin ? Il y a trente ans, je ne connaissais pas encore le dicton « nul n’a été licencié pour avoir acheté de l’IBM ». J’expliquais aux managers, que je formais chez IBM, les motivations de beaucoup de leurs clients. « Vos clients vous achètent des préservatifs professionnels. Les responsables des achats savent que s’ils choisissent un équipement proposé par une PME française et que le moindre problème intervient, ils risquent un blâme. Alors que si vos matériels tombent en panne, votre prestige les couvre ». Les PME innovantes françaises payent d’ailleurs cher ce goût moutonnier pour les préservatifs : encore aujourd’hui, les acheteurs des grands comptes français, comme en témoigne Régis Saleur, de SupernovaInvest (principal fond d’investissement deeptech en France, créé en 2017 par le CEA et Amundi), ont horreur de l’innovation, veulent limiter les risques, préfèrent acheter américain que français.
Enfin, la crise du Covid-19 devrait avoir convaincu de plus sacrifier l’essentiel aux profits immédiats. D’où l’urgence de se poser encore deux questions.
— Gérons-nous le cours en Bourse ou l’avenir de notre entreprise ? Les deux principaux actionnaires de SiliconWinds, des sociétés de capital-risque, ont vendu pour 286 millions de dollars d’actions, le 7 décembre, avant que la divulgation de l’attaque ne leur fasse perdre un quart de leur valeur. Remarquable intuition : quelques heures plus tard, le 8 décembre, la note de FireEye rendait publique la pollution d’Orion. Dommage que les dirigeants de SolarWinds n’aient pas eu autant d’intuition dans la gestion de la qualité du travail de leur entreprise. Ils sont, à présent, l’objet d’une plainte en action collective (class action) pour divulgation de fausses informations et vente de mises à jour qu’ils savaient vérolées.
— Enfin, savons-nous anticiper ? Évidemment, ni l’Administration américaine ni les sociétés faisant métier de vendre de la sécurité n’ont été capables d’anticiper le blitz qu’elles subissent et nous avec, sans doute. L’expert italien Fabrizio Baiardi, co-créateur de la petite société Haruspex, spin-off de l’Université de Pise, affirme que toute la cybersécurité repose sur une erreur conceptuelle : on essaye de protéger une structure qui n’a pas été conçue dès le départ pour être résistante aux attaques. Le professeur préconise de préparer, dès la conception d’un système, sa sécurité tout au long de sa vie. Pour cela, sa société construit pour ses clients, grandes organisations civiles et militaires, des jumeaux numériques, modélisations de ce qui va être construit. A l’aide de l’intelligence artificielle, on simule des milliers, voire des millions d’attaques différentes ; on identifie ainsi des points faibles, des risques tout au long du cycle de vie de la future structure et on modifie en conséquence sa conception. L’on cherche à obtenir des certitudes à 99,99 %. L’anticipation des risques, souligne Filippo Lubrano d’Haruspex, coûte bien moins cher que les interventions après attaque.
Prévenir plutôt que guérir
Ceci illustre l’utilité croissante des jumeaux numériques dans des domaines allant des usines aux prothèses de pieds. « Toutes les industries auront leur modèle virtuel, synchronisé avec le réel », annonçait, il y a deux ans, François Bichet, chef stratégiste de la technologie chez Dassault Systèmes. Selon lui, « gagneront les acteurs réagissant le plus vite, dans une société de l’hypersimulation ». Et il donnait en exemple « Toyota, champion mondial de l’innovation collaborative visuelle dans un monde virtuel » : lors de la conception d’un atelier, tout le personnel est invité à se promener dans la maquette numérique et à proposer des améliorations. Toyota mobilise ainsi l’expérience de terrain et la créativité de tout son personnel. Une innovation collaborative impensable dans les organisations cloisonnées pyramidales, écrivions-nous en 2015.
La démarche de sécurité prédictive de Fabrizio Baiardi transpose, à l’ère du numérique, des préconisations formulées il y a un demi-siècle déjà. Dans les années 1970, des pionniers recommandaient de prendre en compte, dès la conception d’un immeuble, son coût global jusqu’à sa destruction éventuelle. En 1983, dans notre rapport sur la Révolution de l’immatériel, nous reproduisions un schéma inspiré par Harold Kerzner. Il montrait que, dès la conception, on induit des coûts qui vont courir tout au long de la vie du produit ou du système. Les possibilités d’économies diminuent rapidement quand l’on arrive aux stades du développement puis de la production ; si c’est le client qui découvre le défaut, celui-ci va nous coûter très cher. A présent, outre les performances et les coûts, notre sécurité aussi est remise en cause par des organisations et des cultures obsolètes, périlleuses à l’ère des guerres digitales. Que cela, dans tous les domaines, nous incite à prévenir plutôt que guérir !