Sudhakar Ramakrishna, PDG de SolarWinds : « la transparence est douloureuse, mais nécessaire »

Plus de neuf mois après la découverte d’une attaque dévastatrice imputée à un État-nation, le PDG de SolarWinds, Sudhakar Ramakrishna, explique que son entreprise a radicalement revu sa posture et ses pratiques de sécurité, tout en continuant à chercher la cause profonde de la brèche.

Dans cette interview, Sudhakar Ramakrishna évoque les efforts déployés par SolarWinds pour tirer les leçons des attaques sur la chaîne logistique. Bien qu’il ait été parfois difficile de faire preuve de transparence après la brèche massive, Sudhakar Ramakrishna assure que l’entreprise se sentait obligée de partager ses connaissances et ses informations avec d’autres entreprises, en particulier celles dont les ressources en matière de sécurité sont limitées, afin qu’elles n’aient pas à apprendre ces leçons de première main.

Sudhakar Ramakrishna, qui a pris ses fonctions de PDG de SolarWinds quelques jours seulement avant la découverte des portes dérobées Sunburst, révèle l’état d’avancement de l’enquête en cours sur l’intrusion initiale et certains des principaux changements apportés au sein de l’entreprise après l’attaque. Il évoque également la montée en puissance des menaces émanant des États, le potentiel de l’accès de confiance zéro et plus encore.

Dans la position où vous vous trouvez actuellement, après une attaque majeure, votre organisation a probablement une conscience assez forte, de haut en bas, de la sécurité et de ce qui est en jeu. Comment l’entreprise a-t-elle changé, et auriez-vous pu parvenir à ces changements sans passer par ce que vous avez vécu ?

Sudhakar Ramikrishna : Je dirais très probablement, oui, mais pas dans une période de temps aussi comprimée.

Sudhakar Ramikrishna,
PDG SolarWinds

Laissez-moi mettre cela de côté pour une seconde et vous donner un autre exemple. Le directeur informatique d’une grande banque, que mon entreprise a aidée à se transformer numériquement pour prendre en charge le travail à distance l’année dernière, a déclaré : « en cinq semaines, vous m’avez aidé à faire ce qui aurait normalement pris cinq ans ». Disons que c’était exagéré. Parlons plutôt de cinq mois et pas de cinq semaines. C’était l’une de ces choses où il y avait un besoin pour eux. Seraient-ils parvenus à ce stade [sans la pandémie] ? Oui, mais cela aurait pris beaucoup plus de temps. Aurions-nous tiré des leçons des infections Sunburst des autres et nous serions-nous améliorés ? Oui, mais cela nous aurait pris plus de temps. Ce que l’incident a fait, c’est compresser le temps.

Est-il donc plus facile pour une entreprise comme la vôtre d’effectuer ces changements et de justifier les investissements en matière de sécurité ?

Sudhakar Ramikrishna : Encore une fois, cela revient au comportement humain. Et je crois vraiment, aussi ironique que cela puisse paraître, que c’est une situation réelle. Tout comme le comportement humain est à l’origine d’incidents, de défis et de menaces en matière de sécurité, le comportement humain dit également : « hé, tout a l’air d’aller bien. Pourquoi dépenserais-je cet argent ? » Mais comme vous le savez, les personnes avisées apprennent de l’expérience des autres.

Il y a plusieurs choses que nous pouvons faire, tant du point de vue de la gouvernance que du point de vue du comportement. Du point de vue de la gouvernance, l’une des choses que nous avons faites est de créer un comité de technologie et de cybersécurité au sein du conseil d’administration. Outre les comités d’audit, les comités de rémunération, les comités de nomination et de gouvernance d’entreprise, qui existent dans tous les conseils d’administration, l’une des premières choses que j’ai faites a été de créer un comité de technologie et de cybersécurité au sein du conseil.

Ce comité est composé de deux directeurs des technologies de l’information (Dennis Howard, vice-président exécutif et directeur des technologies de l’information chez Charles Schwab & Co. et Easwaran Sundaram, ancien directeur des technologies de l’information et actuel directeur des technologies numériques chez JetBlue) et de moi-même.

Cela nous permet de garder cette discussion au premier plan, au même titre que les stratégies et les données financières, afin que la sécurité soit au même niveau. Grâce à cela, nous changeons également le comportement de toute l’entreprise.

En fin de compte, tout se résume à une question de sensibilisation. Si l’on regarde en arrière, même dans le rapport [sur les tendances IT 2021], 80 % des professionnels de l’informatique disent que le défi doit être relevé par la technologie. Mais dans le même temps, chacun d’entre eux répond « je n’ai pas le budget ou le personnel pour le faire ». Là, il y a quelque chose qui nous manque en tant que gestionnaires et dirigeants.

Vous avez parlé de l’importance de la transparence après une cyberattaque ou une brèche, et de la façon dont SolarWinds a partagé autant d’informations que possible sur Sunburst et l’attaque de la chaîne logistique, dès que possible. Mais partager ce genre de détails a dû être intimidant. Y avait-il une partie de vous qui se demandait si c’était la bonne décision ?

Sudhakar Ramikrishna : Comme vous le savez, il y a beaucoup de honte pour les victimes. Je me suis parfois demandé si c’était la bonne chose à faire. Je dirais que je ne me suis jamais posé la question, car je crois que la transparence est toujours la bonne chose à faire.

Cela veut-il dire que j’étais heureux de le faire à tout moment ? Non. Parce que parfois, on se dit : « pourquoi devons-nous endurer cette souffrance ? Pourquoi les gens ne peuvent-ils pas voir les choses différemment ? »

En même temps, on revient toujours à la neutralité, pour ainsi dire, c’est-à-dire qu’on fait ce qu’il faut, et cela peut prendre du temps, mais on obtient les bons résultats. Et même si cela ne semblait pas être le cas au cours des trois, quatre ou cinq premiers mois de cette année, nous avons lentement mais sûrement obtenu de plus en plus de visibilité.

« C’était douloureux de passer par là. Pour autant, il n’y a jamais eu aucun doute dans ma tête que nous devions être transparents à ce sujet. »

Mais il y a une question plus large ici. Et peut-être est-ce dû à mon expérience en matière d’incidents de sécurité dans le passé et à mon passage du secteur de la sécurité à SolarWinds. Je crois sincèrement que la seule façon de nous protéger en tant que communauté est d’avoir cette notion que j’appelle une « veille communautaire ». Les acteurs malveillants, en particulier les États-nations, peuvent consacrer des ressources au problème. Ils ne respectent pas vraiment de règles, alors que nous sommes liés par des règles, et à juste titre.

Si nous ne partageons pas librement les informations, nous ne serons pas en mesure de devenir plus forts. C’est le premier point. Ensuite, les 24 premières heures, comme l’on-dit, sont très, très importantes.

La rapidité de la divulgation est très, très importante. Plus vite vous le divulguez, plus vite vous pouvez espérer vous protéger. Ce sont les principes qui nous guident dans nos actions. Mais je vais être parfaitement honnête avec vous : c’était douloureux de passer par là. Pour autant, il n’y a jamais eu aucun doute dans ma tête que nous devions être transparents à ce sujet.

Dans la dernière mise à jour de votre enquête, vous avez déclaré que le vecteur le plus probable de l’intrusion initiale dans votre réseau était soit une attaque de phishing ou d’ingénierie sociale, soit une attaque par force brute ou par pulvérisation de mot de passe, soit une vulnérabilité de type « zero-day » dans un produit tiers comme Office 365. Êtes-vous sur le point de comprendre comment les attaquants sont entrés dans votre environnement ? Et est-ce important à ce stade, en termes d’amélioration de votre posture de sécurité ?

Sudhakar Ramikrishna : Cela n’a pas d’importance de ce point de vue : nous l’avons suffisamment affiné pour prendre des mesures correctives, en supposant que le point d’entrée initial puisse être l’une de ces nombreuses possibilités.

La façon dont nous avons abordé la question est la suivante : nous avons formulé hypothèse après hypothèse, puis nous avons recherché les données pour les étayer ou les réfuter, comme vous le feriez normalement pour toute enquête.

Après avoir passé au crible les nombreuses hypothèses, nous nous sommes arrêtés sur les trois dont nous avons parlé. Et nous pensons avoir fait un travail suffisamment bon pour couvrir non seulement ces trois-là, mais aussi de nombreuses autres [menaces possibles] en nous concentrant sur des améliorations et une vigilance permanentes. 

À cet égard, cela n’a pas d’importance. Mais si vous me demandez personnellement, est-ce que je souhaiterais savoir à quel moment précis et comment cela s’est produit ? Oui. Malheureusement, nous n’avons pas été en mesure de l’établir.

Il semble que le sans confiance [le zero-trust] ait significativement gagné en intérêt après les attaques de la chaîne logistique. Au cours de l’année écoulée, de nombreuses organisations se sont intéressées aux réseaux et aux accès sans confiance dans l’espoir d’améliorer la sécurité et de limiter le type d’intrusions dévastatrices qui se sont produites avec Sunburst. Que pensez-vous du zero-trust en tant que personne qui a vécu cela ?

Sudhakar Ramikrishna : Je suis un adepte des principes du sans confiance. Jusqu’en décembre de l’année dernière, j’ai travaillé pour une entreprise [Pulse Secure] qui a été un pionnier dans ce domaine et celui de l’accès sécurisé. Je n’ai aucun conflit avec cette entreprise en termes de philosophie ou d’approche. Le principe du sans confiance, comme vous le savez, est très simple : vérifiez, par exemple, que Rob est Rob avant de lui donner accès à quoi que ce soit, et il n’y a aucune confiance dans le fait que Rob soit Rob tant que ce que cette vérification n’est pas terminée. Auparavant, le processus était le suivant : je me connectais à quelque chose et j’obtenais l’accès avec un mot de passe, puis je pouvais faire ce que je voulais au-delà.

Mais voilà le problème : je ne veux pas que nous simplifiions à l’extrême pour dire que le sans confiance résoudra tous ces problèmes. Imaginons que je vole vos informations d’identification, puis que je me fasse passer pour vous. Le fait que le sans confiance soit mis en œuvre avant de fournir l’accès ne suffira pas dans certains cas. Je dirais que c’est un principe important, mais il ne permet pas de surmonter tous les défis dont nous avons parlé concernant le comportement humain, le besoin de formation et de défense en profondeur, les îlots et la fragmentation des politiques de sécurité, etc. Si tout cela est vrai, alors nous avons toujours les mêmes défis.

En tant qu’organisation ayant été victime d’une attaque majeure d’un État-nation, que pensez-vous de telles menaces ? Que devraient faire les organisations pour mieux se préparer à ce type d’attaques ?

Sudhakar Ramikrishna : Nous avons discuté de ce sujet avec le gouvernement. Tout comme il existe des règles pour la guerre et des règles d’engagement, il doit y avoir des règles de, disons, cyberengagement. Et cela devrait s’appliquer à toutes les nations ; nous devons les amener à la table des négociations et obtenir certaines règles interdisant d’héberger des cybercriminels et, plus encore, de lancer des attaques, car cela devient un acte de guerre à un moment donné.

Certes, ces attaques sont dirigées contre des entreprises plutôt que contre la nation. Mais lorsque vous attaquez mes installations critiques, c’est contre ma nation.

Je pense qu’il y a encore beaucoup de travail à faire de la part des gouvernements du monde entier. Pour être parfaitement honnête, c’est un domaine dans lequel je n’ai pas beaucoup d’expertise. Mais j’ai des points de vue. Et nous les avons partagés avec les cyberdéfenseurs du Royaume-Uni, les Five Eyes, ainsi que des organisations comme la CISA.

Avez-vous l’impression que des progrès sont réalisés dans ce domaine et que nous nous dirigeons au moins vers des règles de cyberengagement auxquelles les autres nations adhéreront ?

Sudhakar Ramikrishna : je ne suis pas sûr que nous nous dirigions dans cette direction pour l’instant. Mais suis-je optimiste quant au fait que quelque chose de ce genre finira par arriver ? Je le crois. Parce qu’en fin de compte, ils pourraient tous se rendre compte qu’il n’est pas dans leur intérêt, tant du point de vue humain que du point de vue économique, de s’engager et de se livrer à ces attaques.

Propos recueillis aux États-Unis, et édités pour des raisons de clarté et de longueur, par nos confrères de SearchSecurity (groupe TechTarget également propriétaire du MagIT).