Sudhakar Ramakrishna était assis à un dîner d'anniversaire avec sa famille lorsqu'il a reçu l'appel : SolarWinds avait subi une cyberattaque à grande échelle. La date était le 12 décembre 2020 et Ramakrishna devait devenir PDG dans quelques semaines.
L'ampleur et la gravité de l'incident n'étaient pas immédiatement apparentes, mais une décision n'avait pas encore été prise. Abandonnerait-il le navire, qui avait causé une fuite sous la direction du capitaine précédent, ou prendrait-il un seau et commencerait-il à le secourir ?
Plusieurs proches confidents ont conseillé à Ramakrishna de se retirer, tandis que d'autres ont suggéré que ses compétences et son expérience en matière de cybersécurité faisaient de lui la personne idéale pour présider la prise de contrôle.
Bien qu'il ait pris le temps d'examiner ses options, la décision de maintenir le cap était finalement simple, a déclaré Ramakrishna à TechRadar Pro.Le conseil d'administration a été informé qu'il reculerait s'il était décidé que SolarWinds bénéficierait de la continuité, mais sinon, elle était prête à guider l'entreprise à travers la crise.
Dans les semaines qui ont suivi, Ramakrishna a commencé à collaborer avec l'équipe de direction dans les coulisses. La première priorité était de découvrir exactement ce qui s'était passé et comment, et la seconde était de formuler un plan d'action que SolarWinds pourrait présenter à ses clients, partenaires et à la presse.
"L'idée qu'une crise puisse arriver à n'importe qui est devenue plus répandue, mais cela ne vous dispense pas du fait que cela vous est arrivé", a-t-il déclaré. "Chaque entreprise connaîtra une crise ou deux, mais c'est la façon dont la direction réagit qui compte."
Un début mouvementé
L'attaque elle-même avait commencé plusieurs mois plus tôt, en septembre 2019, lorsqu'un groupe sophistiqué de cybercriminels soupçonnés d'avoir des liens avec l'État russe avait eu accès pour la première fois au réseau SolarWinds.
Les acteurs de la menace ont fait preuve d'une patience remarquable, se cachant à la vue de tous tout en brossant un tableau complet de l'infrastructure SolarWinds et du processus de développement de produits de l'entreprise.
Parmi les différents produits SolarWinds, les attaquants étaient particulièrement intéressés par un service de surveillance des performances informatiques appelé Orion, qui a besoin d'un accès privilégié aux systèmes clients pour fonctionner comme prévu.
Après un premier test, les pirates ont injecté une souche de malware connue sous le nom de SUNBURST dans une mise à jour du logiciel Orion entre mars et juin 2020. Le correctif toxique a été livré à environ 18 000 clients de SolarWinds, offrant aux attaquants un accès pratiquement illimité aux réseaux des agences gouvernementales, des sociétés de sécurité , et les multinationales dans le processus.
"L'industrie n'est pas nouvelle dans les problèmes de sécurité, mais chacun a sa propre tournure et sa propre signification, et c'était important à sa manière", a déclaré Ramakrishna.
"L'art utilisé pour créer la brèche n'était pas anodin, c'était une attaque de la chaîne d'approvisionnement. C'est un concept bien connu en matière de sécurité, mais il n'est pas bien pratiqué.
Lo que hace que un ataque de este tipo sea tan difícil de detectar, explicó, es que el actor de amenazas solo necesita modificar uno de los miles de archivos para llevar a cabo un ataque, lo que resulta en el compromiso de una gran cantidad de objectifs.
En fin de compte, le groupe a choisi de n'infiltrer qu'un sous-ensemble des organisations compromises, notamment Microsoft, Cisco, VMware, Intel et diverses agences fédérales américaines, mais l'attaque a été décrite comme l'une des plus importantes de l'histoire.
Lorsque la société de sécurité FireEye a alerté SolarWinds de l'incident, qui avait détecté une activité inhabituelle sur son propre réseau, l'entreprise est passée en mode crise. Et c'est dans ce climat que Ramakrishna a franchi les portes lors de sa première journée officielle en charge.
Cependant, alors que le moral du personnel était conforme aux attentes et que les conversations avec les clients en colère étaient souvent difficiles, la crise a au moins fourni une plate-forme sur laquelle Ramakrishna s'est appuyé.
"À certains égards, il est plus facile d'apporter des changements au milieu d'une crise", nous a-t-il dit. "Quand tout est parfait, il y a beaucoup de résistance, mais quand une entreprise est sous le choc, les gens sont réceptifs aux nouvelles idées."
Le 7 janvier 2021, Ramakrishna a publié un article de blog décrivant ce qui avait été appris sur l'attaque jusqu'à présent, proposant des mesures immédiates pour aider les clients à naviguer dans l'incident et établissant un nouveau cadre pour empêcher « qu'une attaque similaire ne se reproduise dans le avenir.
Le casse-tête de la chaîne d'approvisionnement
Bien que SolarWinds ait réussi à se rétablir au cours des douze derniers mois, la fidélisation de la clientèle revenant maintenant aux niveaux d'avant l'attaque, l'incident a eu un impact grave sur les résultats de l'entreprise.
Au lieu de canaliser les ressources vers le développement de produits, les ventes et la génération de la demande comme le ferait une entreprise normale, l'entreprise a été forcée de faire demi-tour, sa réputation en lambeaux.
Ramakrishna et son équipe de direction ont divisé la liste des clients et ont commencé à rencontrer bon nombre d'entre eux individuellement, à la fois pour s'excuser et expliquer ce qui s'était passé et pour les aider à déterminer si leurs propres réseaux avaient été piratés.
Il l'a décrit comme une partie très inconfortable mais essentielle du "processus de guérison" qui a finalement ouvert la voie à un retour aux opérations commerciales normales.
Cependant, malgré les conséquences pour SolarWinds, il existe des preuves suggérant que l'industrie de la cybersécurité dans son ensemble n'a pas tiré les bonnes leçons. Depuis l'attaque, il y a eu un certain nombre d'incidents similaires très médiatisés, tels que l'attaque Kaseya, Log4j, et encore plus récemment la faille de sécurité Okta-Lapsus.
Lorsqu'on lui a demandé pourquoi il pensait que les attaques de la chaîne d'approvisionnement continuaient, Ramakrishna a expliqué que la nature décousue de la défense collective donne à l'attaquant un avantage significatif dès le départ.
"Ce n'est pas seulement un problème technologique, il y a tellement plus", a-t-il déclaré. « Chacun de nous se défend contre un agresseur. Mais d'un côté, il y a une armée coordonnée avec un seul objectif, attaquer, et de l'autre, une collection de soldats fragmentés.
Ramakrishna a également critiqué la culture de la honte des victimes, qui, selon lui, contribue à la réticence des entreprises à partager des informations vitales.
"Il y a encore beaucoup de honte pour les victimes, donc les entreprises finissent souvent par résoudre les problèmes sans rien dire à ce sujet. Il y a certainement une réticence à parler", nous a-t-il dit.
« En cas d'incident, il est important d'obtenir l'aide de la communauté. Nous devons sensibiliser les gens aux problèmes plus rapidement; cet état d'esprit devrait prévaloir en matière de sécurité logicielle.
Pour empêcher qu'une attaque de cette ampleur sur la chaîne d'approvisionnement ne se reproduise, Ramakrishna pense également que les entreprises doivent adopter un nouveau cadre de sécurité, qu'il appelle "sécurisé dès la conception".
Le modèle comporte trois composantes : la sécurité de l'infrastructure, la sécurité du système du bâtiment et la conception du système du bâtiment lui-même. Mais l'idée générale est de continuer à changer la surface d'attaque, afin de ne pas fournir à l'attaquant une cible fixe et de minimiser la fenêtre d'opportunité.
Avec cet objectif à l'esprit, SolarWinds a créé un "système de construction parallèle" dans lequel son logiciel est construit dans trois emplacements distincts, qui peuvent être modifiés de manière dynamique. Le résultat de chaque construction individuelle est ensuite vérifié par rapport aux autres pour éliminer toute incohérence qui pourrait trahir une attaque.
Pour réussir à infiltrer un patch, un attaquant devrait lancer trois attaques simultanément, exactement au même moment, et en utilisant exactement la même technique.
"C'est une chose très difficile à faire, même pour le cybercriminel le plus persistant", a déclaré Ramakrishna.
Le nouveau look de SolarWinds
Ironiquement, il a été suggéré que SolarWinds pourrait désormais être considérée comme l'entreprise la plus sûre au monde. Après tout, aucune autre organisation n'a fait face au même niveau d'examen minutieux depuis la découverte de l'attaque.
Ramakrisha a refusé de dire s'il croyait ou non que la caractérisation était exacte, mais a déclaré que c'était quelque chose que l'entreprise était "déterminée à réaliser".
Fonctionnant dans le cadre de sa conception sécurisée, SolarWinds cherchera désormais à s'appuyer sur sa base de surveillance informatique et à évoluer vers une entreprise capable de répondre aux besoins hybrides des clients, à la fois dans le cloud et sur site.
Ramakrishna a promis un niveau d'automatisation plus élevé et des installations de visualisation et de correction supérieures qui, ensemble, aideront à résoudre les types de problèmes créés par la transformation numérique. L'objectif est de « réduire la complexité, améliorer la productivité et réduire les coûts » pour les clients, nous ont-ils dit.
Maintenant que quelques rayons de soleil commencent à percer le nuage qui plane sur l'entreprise, Ramakrishna est impatient de se concentrer sur ces objectifs fondamentaux. Mais alors que notre conversation touchait à sa fin, il a également pris un moment pour mettre en garde contre la complaisance :
"Aucune entreprise, quoi qu'elle fasse, ne devrait croire qu'elle est à l'abri d'une attaque, car c'est faux", a-t-il déclaré.