Unisys : du code source « exfiltré » lors d’une cyberattaque en 2022

Du risque hypothétique au risque avéré

La phrase du formulaire 10-K d’Unisys, pour l’exercice fiscal clos le 31 décembre 2023, figure dans la section consacrée aux facteurs de risque, et plus précisément dans celle relative aux risques cyber : « des cyberincidents, des failles de sécurité et d’autres perturbations de nos systèmes informatiques se sont produits et continueront de se produire, ce qui pourrait entraîner des coûts importants et nuire à nos activités ».

Cette tournure apparaît avec le formulaire 10-K d’Unisys, pour l’exercice fiscal clos le 31 décembre 2022. Ou presque : « des incidents de cybersécurité sont survenus et pourraient continuer de se produire », commence alors le passage. Avant cela, l’occurrence d’incidents de cybersécurité n’était qu’hypothétiquement abordée au conditionnel.

Le formulaire 10-K d’Unisys, pour l’exercice fiscal clos le 31 décembre 2022, indique en outre que, « comme d’autres entreprises, nous avons fait l’expérience d’attaques de cybersécurité et avons dû accroître nos ressources humaines et financières en réponse ». 

Nous avons sollicité Unisys, en août 2022, sans succès. Mais le sujet a été abordé lors d’une conférence téléphonique, le 4 août 2022, à l’occasion de la présentation des résultats du second trimestre de l’exercice fiscal.

Selon la retranscription de la conférence, Peter Altabef, président du conseil d’administration et CEO d’Unisys, indique alors « être au courant d’une apparente récente cyberattaque impliquant notre environnement de laboratoire logiciel ». Il ajoute ne pas avoir, à ce moment-là, « beaucoup d’information à partager » et n’évoque pas d’exfiltration de code source. 

Le sujet ne sera pas mentionné durant la conférence téléphonique consacrée aux résultats du trimestre suivant, le 8 novembre 2022, ni celle consacrée aux résultats de l’exercice complet, selon les retranscriptions disponibles.

Des processus internes inadaptés ?

Le 7 novembre 2022, Unisys transmet un formulaire 12b-25 à la SEC, indiquant ne pas être en mesure de publier ses résultats trimestriels dans les délais réglementaires, pour le trimestre clos le 30 septembre 2022. Pourquoi ? Parce qu’une enquête interne est en cours « concernant certaines questions relatives aux contrôles et procédures de divulgation, y compris, mais sans s’y limiter, la diffusion et la communication d’informations dans certaines parties de l’organisation ».

Le 15 novembre 2022, dans un formulaire 8-K, Unisys indique que cette enquête interne a permis d’identifier des « faiblesses importantes dans les contrôles et procédures de divulgation de la société et dans le contrôle interne de l’information financière, en ce qui concerne la conception et le maintien de politiques et procédures formelles efficaces sur les informations communiquées par la fonction informatique et la fonction juridique et de conformité aux personnes responsables de la gouvernance, y compris le directeur général et le directeur financier ».

On y lit également que les systèmes d’information d’Unisys « ont été et pourraient, à l’avenir, continuer d’être la cible de diverses formes d’incidents de cybersécurité ».

C’est le 23 novembre 2022 qu’est finalement transmis le formulaire 10-Q pour les résultats du trimestre clos le 30 septembre 2022. Là, on apprend qu’Unisys s’engage à « améliorer sa politique écrite concernant la remontée des informations en cas d’incidents cyber » et que l’entreprise « a procédé à une évaluation de la dotation en personnel de son équipe de réponse aux incidents ». Toutefois, peut-on lire, « il n’y a pas eu d’incidents ou de vulnérabilités en matière de cybersécurité qui aient eu un effet négatif important sur l’entreprise ».

Contactée par LeMagIT, la direction de la communication d’Unisys confirme évoquer le vol de code source pour la première fois, avec son formulaire 10-K pour 2023 : « il avait été déterminé qu'il n'était pas significatif ».