Au début de l'année, OPSWAT informé par l'un de ses prestataires de services de communication tiers d'un incident de sécurité survenu chez ce dernier, susceptible de compromettre certaines coordonnées professionnelles associées à notre client. La notification provenait directement du prestataire et a donné lieu à une coordination étroite entre son équipe et la nôtre.
Au moment où nous avons été informés, rien n'indiquait la présence d'activités malveillantes au sein OPSWAT , aucune preuve d'exfiltration de données n'avait été constatée chez notre client, et aucune menace n'était en cours. Nous avons néanmoins traité cette situation avec tout le sérieux qu'elle méritait.
En tant que RSSI, ce genre d'incidents met en évidence plusieurs réalités dont il est facile de parler en théorie, mais qui sont bien plus difficiles à gérer dans la pratique.
Tout d'abord, le risque lié aux tiers n'est plus une préoccupation secondaire. Les entreprises modernes sont étroitement interconnectées. Les plateformes d'identité, les intégrations SaaS et les systèmes d'engagement client génèrent une réelle valeur ajoutée, mais elles augmentent également la surface d'exposition lorsque des incidents surviennent en dehors de votre contrôle direct. Même si votre propre dispositif de sécurité tient bon, les répercussions peuvent tout de même toucher votre organisation.
Deuxièmement, la transparence au sein de votre entreprise est tout aussi importante que la maîtrise de la situation. Une fois que nous avons eu une vision claire de l'ampleur et des répercussions de la situation, nous avons choisi de communiquer directement avec nos employés. Nous ne considérions pas cela comme une menace immédiate, mais nous savions que les gens prennent de meilleures décisions lorsqu'ils sont bien informés. Plutôt que de semer le doute par notre silence, nous avons décidé d'instaurer la confiance par la communication.
Troisièmement, la qualité de la réponse dépend de la préparation, et non de la panique. Nos équipes chargées de la sécurité, de l’informatique et des applications d’entreprise ont pu agir rapidement car les rôles, les procédures d’escalade et les processus de gestion des preuves étaient déjà en place. Les journaux ont été conservés. Les chemins d’accès ont été examinés. Les renseignements sur les menaces ont été utilisés pour détecter d’éventuels risques secondaires. Cette rigueur s’est mise en place à l’avance, avant même que l’incident ne se produise, précisément parce que nous savions qu’elle ne peut pas s’imposer au moment de l’incident sans un travail préparatoire préalable.
Enfin, ce genre d'incidents s'accompagne souvent de tentatives d'hameçonnage ou d'ingénierie sociale. Même lorsque les systèmes restent sécurisés, les personnes peuvent tout de même être prises pour cible. Redoubler de vigilance, vérifier les demandes inattendues et signaler toute activité suspecte restent parmi les moyens de défense les plus efficaces dont nous disposons.
Je présente ce point de vue afin de mettre en avant un principe plus général plutôt que de me concentrer sur un incident particulier impliquant un fournisseur. La cybersécurité ne se limite pas à la prévention des violations ; elle englobe également la manière dont une organisation réagit aux incidents affectant son environnement, la clarté de sa communication et le renforcement continu de la confiance entre les parties prenantes.
Chez OPSWAT, nous continuerons à considérer la sécurité comme une responsabilité opérationnelle, et non comme une simple fonction d'appoint. Cela implique d'exiger d'eux-mêmes et de nos partenaires le respect de normes rigoureuses, de communiquer ouvertement lorsque cela s'impose, et de garder à l'esprit que la résilience repose sur la préparation et les personnes, et non sur la perfection.
- Mike Barker
, responsable de la sécurité des systèmes d'information (RSSI) et directeur des opérations (COO) chez OPSWAT
