EmpĂȘtrĂ© dans son piratage, qui a menĂ© Ă l'espionnage de dizaines d'agences fĂ©dĂ©rales amĂ©ricaines, SolarWinds vient d'annoncer une palanquĂ©e de nouvelles mesures, dont le recrutement au titre de consultants externes d'un binĂŽme aussi expert en cybersĂ©curitĂ© que mĂ©diatique, Chris Krebs, ex-patron de la CISA, et Alex Stamos, l'ancien monsieur SĂ©curitĂ© de Facebook.
SolarWinds nâen finit pas de patauger dans lâaffaire de piratage dâOrion et dâespionnage qui a Ă©clatĂ© en fin dâannĂ©e. LâĂ©diteur texan vient ainsi de remplacer son patron par Sudhakar Ramakrishna, jusquâalors CEO de Pulse Secure. Quoique celui-ci assure dans un post de blog que sa nomination avait Ă©tĂ© dĂ©cidĂ©e bien avant la cyberattaque, ou plus exactement âavant que lâentreprise ne soit notifiĂ©e de la cyberattaqueâ, il entend bien remettre de lâordre dans les dĂ©fenses de SolarWinds.
âForts de ce que nous avons appris de cette attaque, nous rĂ©flĂ©chissons Ă©galement Ă nos propres pratiques de sĂ©curitĂ© et recherchons des opportunitĂ©s pour amĂ©liorer notre posture et nos politiquesâ Ă©crit-il, âdans le but de faire de SolarWinds un leader de la sĂ©curitĂ© des logiciels d'entreprise. Ces efforts de transformation exigeront une attention particuliĂšre sur les programmes, les politiques, les Ă©quipes et la culture de sĂ©curitĂ©â.
LâAgence Cyber Risques
Le nouveau CEO de lâĂ©diteur par qui le mal est arrivĂ© liste ainsi les mesures que SolarWinds sâapprĂȘte Ă prendre. Nouveaux logiciels dâEDR (endpoints detection & response), remise Ă plat des accĂšs, des privilĂšges et des informations dâidentification de ses salariĂ©s, dĂ©ploiement de lâauthentification multifacteur, meilleur contrĂŽle des accĂšs Ă ses environnement de dĂ©veloppement, Ă©tapes supplĂ©mentaires de vĂ©rification du code de ses logiciels, rĂ©alisation de pentest... autant de mesures que lâon aurait pu croire basiques dans une sociĂ©tĂ© de la taille de SolarWinds.
Surtout, Sudhakar Ramakrishna veut sâentourer dâexperts en cybersĂ©curitĂ©. Et il a pour ce faire recrutĂ© un duo de choc. Le premier fut, aprĂšs un passage par Yahoo!, le RSSI de Facebook. DĂ©missionnaire dans la foulĂ©e du scandale Cambridge Analytica, il est depuis professeur Ă Stanford, tout en donnant un petit coup de main Ă Zoom en avril dernier. Le second Ă©tait le Guillaume Poupard amĂ©ricain. Patron de la CISA, lâĂ©quivalent de lâAnssi aux Ătats-unis, il a Ă©tĂ© virĂ© par Donald Trump pour avoir assurĂ© que, sur le plan Ă©lectronique, les Ă©lections nâavaient pas Ă©tĂ© entachĂ©es dâirrĂ©gularitĂ©s. Ensemble, ils ont crĂ©Ă© leur cabinet de conseil en cybersĂ©curitĂ©, le bien nommĂ© KSG, pour Krebs Stamos Group.
Car il sâagit, vous lâaurez compris, dâAlex Stamos et de Chris Krebs. Qui sont donc recrutĂ©s en qualitĂ© de consultants externes par SolarWinds. âNous avons fait appel Ă l'expertise de Chris Krebs et d'Alex Stamos pour nous aider dans cette enquĂȘte et fournir des conseils sur notre parcours pour Ă©voluer vers une sociĂ©tĂ© de dĂ©veloppement de logiciels sĂ©curisĂ©s leader du secteurâ explique lâĂ©diteur Ă Reuters.