SolarWinds veut faire oublier une année difficile

SolarWinds veut faire oublier une année difficile


Fin 2020, l’entreprise américaine SolarWinds était victime d’une attaque informatique majeure. Cette dernière avait ouvert aux attaquants la voie à de nombreuses entreprises clientes et administrations américaines.

Un cas d’école en matière d’attaque sur la chaîne d’approvisionnement : les attaquants sont parvenus à modifier une mise à jour du logiciel de supervision Orion pour déployer du code malveillant dans l’environnement d’entreprises clientes. Une attaque restée sous le radar pendant plusieurs mois, avant d’être identifiée par la société de cybersécurité FireEye. Un comble pour une entreprise dont les produits promettent aux clients une meilleure supervision de ce qu’il se passe sur leur système informatique.

La découverte de l’attaque a fait l’effet d’une déflagration dans le monde de la sécurité informatique. Le nouveau PDG Sudhakar Ramakrishna, arrivé aux commandes en début d’année 2021, a donc commencé son règne dans une situation peu enviable : organiser la réponse à un incident ayant potentiellement fait des victimes dans plus de 1 800 organisations, parmi lesquelles des administrations américaines de haut vol, tout en redorant le blason de sa société soudainement mise en lumière de la pire façon.

Remonter la pente

L’enquête interne s’est achevée au mois de mai 2021, et les conclusions ont été partagées par l’entreprise dans un post de blog faisant le point sur le déroulé de l’attaque.

Une première étape franchie, mais l’année de Solarwinds ne s’est pas résumée à cette investigation. « Nous avons passé l’essentiel de l’année 2021 à mettre en place et à implémenter les pratiques de « Security by design » que nous avions définies. C’est une chose de définir une stratégie, c’en est une autre de l’implémenter. Mais je pense que nous y sommes parvenus dans l’essentiel. Nous entrons maintenant dans la deuxième phase, celle qui consiste à améliorer de façon continuelle les pratiques mises en œuvre par cette stratégie », raconte le dirigeant, interrogé par ZDNet.fr.

Derrière ces grands principes, l’éditeur a cherché à renforcer la sécurité de son approche de développement, afin d’éviter qu’un acteur malveillant puisse à nouveau profiter d’une intrusion pour envoyer du code malveillant à ses clients.

Un processus de développement complètement repensé

Ainsi, le processus de développement logiciel a été revu, comme l’explique Sasha Gliese, ingénieur avant-vente chez Solarwinds : « Dans une entreprise traditionnelle, les développeurs créent le programme, le testent probablement dans une machine virtuelle avant de créer un exécutable qui est ensuite envoyé au client. Nous ne fonctionnons plus comme ça. Pour chaque projet, nous créons trois chaînes de développement parallèle, sur lesquelles travaillent plusieurs équipes qui s’occupent chacun d’une partie différente. Et nous opérons des comparaisons du code afin de vérifier que tout est en ordre avant de l’envoyer à nos clients ».

Parmi les autres mesures mises en œuvre, la société indique avoir recours à l’outil open source Tekton Chains, qui offre une meilleure surveillance du développement et de la livraison des applications via Kubernetes.

« Sur la seule année 2021, nous avons investi pas moins de 25 millions de dollars sur le renforcement de la sécurité au sein de notre entreprise », précise Sudhakar Ramakrishna. Selon le dirigeant de Solarwinds, ces nouvelles méthodes représentent un coût supplémentaire pour le développement des logiciels, mais qui reste « marginal » et n’empêche pas Solarwinds d’investir dans d’autres domaines.

La sécurité, un investissement nécessaire, mais pas suffisant

Pour le dirigeant, si la sécurité est essentielle, elle ne saurait néanmoins être le seul argument d’un vendeur.

« Aujourd’hui, lorsque je regarde mes clients, le principal défi auquel ils font face est celui d’une complexité grandissante de leurs systèmes informatiques, et des budgets qui augmentent, mais qui ne suffisent pas à faire face à cette complexité. Et nous devons avant tout les aider à résoudre ces problèmes. Proposer un logiciel sécurisé, mais qui ne permet pas aux clients de répondre à ces défis n’est simplement pas suffisant », estime-t-il.

Est-ce que ces efforts suffisent ? Le PDG veut le croire, et s’appuie pour cela sur les chiffres de l’entreprise au premier trimestre 2022 : « Nos résultats du premier trimestre 2022 montrent que notre taux de renouvellement des clients était revenu à son niveau historique d’avant l’attaque. Cela indique à mon sens que nous sommes parvenus à répondre aux interrogations de nos clients concernant l’attaque. »

Renforcer la coopération entre acteurs publics et privés

Sudhakar Ramakrishna a également profité d’une récente prise de parole à la conférence RSA, aux Etats-Unis, pour appeler à une plus grande coopération entre le secteur privé et les agences de cybersécurité des gouvernements.

« La coopération actuelle est insuffisante à mon sens. Nous faisons face à des attaques informatiques de plus en plus nombreuses et sophistiquées. Aucune entreprise aujourd’hui ne peut s’estimer à l’abri de ce type d’attaque, et nous sommes contraints de nous améliorer en permanence. L’une des améliorations possibles est de renforcer la coopération entre le secteur privé et le secteur public sur ces sujets », insiste le dirigeant.

Parmi les pistes évoquées, le PDG souhaiterait par exemple pouvoir mettre un de ses employés à la disposition de l’agence de cybersécurité américaine, la CISA (équivalent américain de l’Anssi). Et le PDG ne se dit pas fermé à renforcer les partenariats avec les agences de pays européens, comme l’Anssi en France.

Aller de l’avant

Pour le dirigeant de Solarwinds, l’attaque est donc désormais à ranger au chapitre des affaires classées. La société espère maintenant renouer avec la croissance et renforce en conséquence ses équipes et son activité sur la région Asie et Europe/Moyen-Orient.

Un nouveau directeur, Laurent Delattre, a ainsi été nommé pour la région Europe. L’entreprise renforce également ses équipes en France et en Europe : les principaux centres de R & D sont basés en Pologne et en République tchèque, tandis que le support technique est assuré depuis l’Irlande. Mais l’éditeur promet que des interlocuteurs français sont disponibles pour répondre aux interrogations des clients.

Le dirigeant ne détaille pas le volume des investissements dans les différentes régions, mais l’Asie semble être l’axe de développement prioritaire pour SolarWinds : l’entreprise a notamment renforcé ses effectifs au Japon et ouvert un nouveau bureau en Corée du Sud.

Pas question de cacher la poussière sous le tapis

Pour beaucoup, SolarWinds restera synonyme d’une attaque inédite qui a fait trembler les Etats-Unis en fin d’année 2020, un cas d’école en matière d’attaque sur la chaîne d’approvisionnement logicielle. Mais la société veut faire entendre qu’elle ressort de l’épreuve grandie.

Et quand on lui demande s’il a été envisagé de renommer la société pour se débarrasser de ce symbole, Sudhakar Ramakrishna secoue la tête : « Nous avons brièvement abordé le sujet, mais nous n’avons jamais pris cette option au sérieux. »

« Notre objectif principal était de résoudre ce problème, et le marketing ne résout pas les problèmes. S’il faut investir, je préfère investir notre argent pour résoudre le problème plutôt que sur le marketing. Nous n’excluons pas de changer un jour le nom de la marque, mais nous souhaitons le faire pour les bonnes raisons. Pour des raisons stratégiques par exemple. Pas pour cacher la poussière sous le tapis. »





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.