En décembre 2020, tous les projecteurs du monde informatique se tournaient vers SolarWinds, un éditeur inconnu du grand public. Des chercheurs en cybersécurité venaient de découvrir la corruption à la racine d'Orion, son logiciel de gestion de réseaux. Grâce à l'insertion d'un morceau de code malveillant dans la structure du logiciel, qui avait échappé aux détections de SolarWinds, des hackers avaient espionné pendant plusieurs mois des dizaines de clients de l'entreprise. Parmi les victimes -dont la liste exacte reste floue- se trouvaient plusieurs branches du gouvernement américain, et quelques grandes entreprises technologiques du pays. Le feuilleton s'est étendu sur plus de six mois, au gré des conclusions de diverses enquêtes. La Maison Blanche s'est elle-même emparée du dossier, jusqu'à accuser une branche du renseignement russe, le SVR, d'être à l'origine de l'attaque, une attribution extrêmement rare dans le milieu très prudent de la cybersécurité.
Deux ans après la cyberattaque, SolarWinds souhaite relancer sa trajectoire de croissance et s'attaque à de nouveaux marchés dont l'Asie mais aussi l'Europe et plus particulièrement la France. L'entreprise revendique 300.000 clients -le même nombre qu'avant l'attaque- dont une large majorité du Fortune 500 [un classement des plus grandes entreprises américaines, ndlr]. Elle dégage 650 millions de dollars de revenus récurrents annuels et vise le milliard de dollars à moyen terme. Après un coût d'arrêt en 2021, l'entreprise va être de nouveau rentable en 2022, et vient de lancer un nouveau produit. Arrivé chez SolarWinds juste après la découverte de la cyberattaque, le directeur général (CEO) Sudhakar Ramakrishna défend auprès de La Tribune sa gestion de la crise, et estime avoir redressé et même amélioré la réputation de l'entreprise.
LA TRIBUNE - Quelles mesures avez-vous prises pour limiter les conséquences néfastes de la cyberattaque sur votre réputation ?
SUDHAKAR RAMAKRISHNA - Une cyberattaque comme celle que nous avons subie peut arriver à n'importe qui. Surtout lorsqu'elle est commanditée par un acteur étatique. Mais pour autant, on ne peut en conclure que c'est acceptable. Nous avons donc fait de la transparence une priorité. Habituellement, lorsqu'un incident se produit, qu'il soit d'ordre cyber ou non d'ailleurs, les entreprises ont tendance à utiliser des tactiques de diversion. Elles concentrent leurs efforts de communication pour diluer l'attention portée au vrai problème et la rediriger vers d'autres enjeux. Mais nous pensons qu'à l'inverse, si vous voulez garder la confiance de vos clients, il vous faut être transparent.
Il est important de communiquer avec ses clients : dire clairement ce qu'il s'est passé, comment ça c'est passé, ce que vous savez, ce que vous ne savez pas, ou encore ce sur quoi vous enquêtez encore [SolarWinds publiait des mises à jour publiques et régulières sur les enquêtes en cours, ndlr]. Ensuite, il faut avoir un certain niveau d'urgence, puisque les personnes touchées par l'incident ne vont pas se contenter de la transparence, elles attendent de l'action, des solutions.
Il faut donc collaborer avec les gouvernements, les régulateurs, les clients, les partenaires industriels, car aucune entreprise ne peut résoudre à elle seule ce genre de problème. Depuis que nous avons été touchés, nous partageons par ailleurs nos enseignements avec les autres, en espérant qu'ils puissent éviter de subir la même situation, ou du moins réagir plus efficacement.
Comment avez-vous fait pour rétablir votre image ?
Nous avons tout reconstruit sur le principe "secure by design". Concrètement, nous avons revu notre infrastructure de sécurité, des endpoints [les différentes machines utilisées au sein de l'entreprise, ndlr], en passant par le logiciel et le cloud. Ensuite, puisque l'attaque que nous avons subie était une supply chain attack [une attaque qui touche la racine d'un logiciel pour affecter ses clients, ndlr], nous avons dû adopter une nouvelle méthode de construction de nos produits. Nous avons ajouté plusieurs garanties de sécurité supplémentaires, par exemple dans la façon dont nous signons le code, avec de nouveaux processus de vérification.
Comment vos clients ont-ils réagi ?
Nous avons eu presque deux ans de travail avec eux. Avant l'attaque, notre taux de rétention était au-dessus de 90%, ce qui prouve la confiance qu'ils avaient en notre entreprise. Aujourd'hui, presque deux ans plus tard, nous sommes remontés à ce niveau.
Autrement dit, les clients reviennent, même s'ils étaient fâchés dans un premier temps. Ils comprennent que nous sommes devenus une meilleure entreprise, parce que nous sommes plus transparents. D'ailleurs, on nous cite de plus en plus dans l'industrie informatique comme un exemple de gestion de crise.
Vous avez expliqué au début de l'année que vous aviez investi 25 millions de dollars en cybersécurité suite à l'attaque. Entre ce coût et la perte d'activité, l'incident vous a-t-il mis en difficulté financièrement ?
L'aspect financier n'a pas vraiment été un problème, parce que nous avons toujours été profitables au cours de nos 20 ans d'histoire, avec de la trésorerie de côté. Et puis, comme beaucoup d'entreprises, nous avions une assurance cyber qui a couvert une partie des coûts.
La cyberattaque a-t-elle transformé la stratégie de l'entreprise ?
Nous n'avons pas changé nos plans, mais nous avons effectivement dû ralentir le rythme de notre croissance. Certaines choses que je voulais faire dès mon arrivée ont dues être remises à plus tard car il fallait gérer en priorité les questions de sécurité.
L'incident est-il bel et bien clos?
De notre côté, l'enquête technique et les enquêtes liées à nos clients sont pratiquement closes. Mais vous pouvez imaginer que sur ce genre de dossier, le gouvernement et les régulateurs sont aussi impliqués, et donc des enquêtes restent en cours. Je les rangerais plus dans la catégorie légale que technique cependant. Surtout, elles n'affectent pas notre quotidien.
Vous pouvez donc passer à autre chose, deux ans après ?
On ne pourra jamais prendre pour acquis notre position. Sommes-nous retombés sur nos pieds et avons-nous relancé notre croissance ? La réponse est oui. Mais il nous faut rester humble et vigilants, en plus de constamment réfléchir à comment nous pouvons nous améliorer. Aucune entreprise ne peut définitivement écarter la cybermenace.
Je pense que les personnes qui travaillent dans l'informatique ont eu d'emblée plus d'empathie pour notre situation et qu'ils ont rapidement compris la démarche que nous avons essayé d'adopter. D'un point de vue plus global cependant, j'espère que le grand public comprend qu'il est possible pour les entreprises d'être transparentes, et que c'est sur ces entreprises qui affichent des garanties de confiance même dans les moments difficiles qu'il faut construire.
Economie de guerre : Nexter se dit capable de fabriquer 12 canons Caesar par mois
Sujets les + commentés