Lors d’une audience auprès du comité de renseignement du sénat américain portant sur la cyberattaque SolarWinds, le président de Microsoft, Brad Smith, a salué la transparence de FireEye. Il a également appelé à une collaboration plus étroite entre le secteur privé et les autorités pour éviter que de tels incidents ne se reproduisent, rapporte CNBC.
« Le fait que nous soyons ici aujourd'hui pour discuter de cette attaque, disséquer ce qui a mal tourné et identifier les moyens d'atténuer les risques futurs n'est dû qu'au fait que mon collègue témoin, Kevin Mandia, et ses collègues de FireEye, ont choisi d'être ouverts et transparents sur ce qu'ils ont trouvé dans leurs propres systèmes, et de nous inviter, chez Microsoft, à travailler avec eux pour enquêter sur l'attaque », a-t-il déclaré. Selon lui, la campagne de cyberespionnage serait toujours en cours sans l’intervention de FireEye.
Pour rappel, l’entreprise spécialisée en cybersécurité est la première entité à avoir annoncé publiquement être victime d’une cyberattaque employant des méthodes inédites et inconnues. Peu de temps après, un conseil national de sécurité s’est tenu et a établi que le logiciel Orion, commercialisé par SolarWinds, était la victime principale de cette cyberattaque d’une ampleur inédite, mais les experts ont depuis découvert que sa portée s’étendait bien au-delà de la firme texane.
La semaine passée, un conseiller en sécurité à la Maison Blanche a estimé que 9 agences gouvernementales et près de 100 entreprises avaient été visées ; c’est notamment le cas de Microsoft qui a affirmé avoir été compromis auprès d’environ 60 de ses clients. Brad Smith assure toutefois que ce chiffre risque encore de s’élever au fur et à mesure que l’enquête avance.
Pour le président de la firme de Redmond, les entreprises numériques devraient avoir l’obligation de le dévoiler si elles sont victimes d’une cyberattaque : « Une obligation de divulgation de la part du secteur privé favoriserait une plus grande visibilité, qui peut à son tour renforcer une stratégie de coordination nationale avec le secteur privé, ce qui peut accroître la réactivité et l'agilité. Le gouvernement est dans une position unique pour faciliter une vue plus complète et un échange approprié d'indicateurs de compréhension et de faits matériels concernant un incident ».
Si l’idée semble louable, intéressante et nécessaire, elle peut également poser problème, estime le PDG de FireEye, Kevin Mandia. En effet, une attaque subie par une société et rendue publique pourrait avoir d’importantes répercussions : « Il y a les procès d'actionnaires, et beaucoup de considération sur l'impact commercial que cela pourrait avoir. Vous ne voulez pas non plus créer inutilement beaucoup de peur, d'incertitude et de doute ». Afin de trouver un juste équilibre, il faudrait effectivement obliger les entreprises à divulguer des informations en cas de cyberattaque, mais également les protéger à travers la législation, c’est-à-dire instaurer de nouvelles mesures portant sur leur responsabilité si elles respectent la loi et communiquent à propos des attaques qu’elles ont subies.
