L’ancien responsable de la sécurité d’Uber Technologies, Joseph Sullivan, sera condamné jeudi par un tribunal de San Francisco à l’issue d’une affaire qui a captivé et alarmé l’industrie de la cybersécurité.
En octobre, un jury a reconnu M. Sullivan coupable d’entrave criminelle et de non-signalement d’un crime à la suite d’une cyber-intrusion en 2016 chez Uber. Les procureurs ont recommandé une peine de 15 mois, tandis que les avocats de M. Sullivan demandent une probation, selon des notes déposées auprès du tribunal.
Des pirates ont approché Uber en 2016 alors qu’il faisait l’objet d’une enquête distincte de la Federal Trade Commission. Les pirates ont déclaré avoir obtenu environ 57 millions d’enregistrements, dont certains contenaient des données clients sensibles, grâce à une “vulnérabilité” de la technologie d’Uber. L’équipe de M. Sullivan a finalement payé les pirates 100 000 $ et l’a qualifié de « prime de bogue », une récompense parfois accordée par les entreprises aux chercheurs en sécurité qui trouvent des failles dans les logiciels.
Les procureurs ont allégué que le paiement était une tentative de M. Sullivan de dissimuler l’incident et qu’il avait pris des mesures pour empêcher qu’il ne soit signalé à la FTC, qui enquêtait sur Uber pour une violation antérieure.
M. Sullivan a refusé de commenter mercredi. Ses avocats ont déclaré devant le tribunal qu’il protégeait les clients d’Uber. Son équipe a payé les pirates dans la monnaie numérique bitcoin et leur a fait signer des accords de non-divulgation. Cela a fourni suffisamment d’assurance à l’équipe pour qu’elle classe l’incident comme une prime de bogue plutôt que comme une violation de données, ont déclaré les avocats de M. Sullivan.
M. Sullivan a été licencié par Uber en 2017 après que Dara Khosrowshahi a pris ses fonctions de directeur général et ordonné une enquête sur l’incident. M. Sullivan a été inculpé par les procureurs fédéraux en 2020. Uber n’a pas immédiatement répondu à une demande de commentaire.
L’essai a déclenché l’alarme dans l’industrie de la cybersécurité. Les responsables de la sécurité de l’information perdent parfois leur emploi à la suite d’une violation, mais font rarement face à des poursuites pénales. L’affaire a suscité des inquiétudes quant au fait que le fait de ne pas signaler les incidents pourrait amener davantage de chefs de la sécurité devant des jurys.
“La peur des responsables de la sécurité est palpable à la suite de cette affaire”, a déclaré Lucia Milică Stacy, CISO résidente mondiale de la société de cybersécurité Proofpoint.
L’affaire pourrait également nuire aux relations entre les chefs de la sécurité et le gouvernement à un moment où les autorités fédérales poussent les entreprises à partager plus d’informations sur les incidents et les menaces de cybersécurité afin d’aider à dissuader les attaques. Le cas de M. Sullivan pourrait amener certains RSSI à réfléchir à deux fois avant de le faire, de peur d’être pris pour des boucs émissaires, a déclaré Mme Milică.
“L’un des plus grands défis que nous considérons comme un effet d’entraînement potentiel est que de plus en plus de responsables de la sécurité se sentent mal à l’aise à l’idée de partager des informations avec les forces de l’ordre”, a-t-elle déclaré.
Les amis, la famille et les pairs de l’industrie de M. Sullivan ont soumis plus de 100 lettres de soutien au tribunal, dont certaines ont exprimé leur inquiétude quant à l’impact plus large de l’affaire sur l’industrie.
Dans une note de condamnation soumise au tribunal, les procureurs ont déclaré que l’affaire ne concernait pas des erreurs de bonne foi commises lors d’un incident de sécurité, mais des actions délibérées visant à dissimuler un événement embarrassant.
“M. Le cas de Sullivan souligne que la dissimulation d’informations au cours d’une enquête criminelle sera toujours criminelle », a déclaré Jon France, CISO chez (ISC)2, un organisme professionnel mondial qui fournit des certifications en cybersécurité. “Le message central est que si vous enfreignez la loi, les régulateurs et les autorités vous en prendront à partie”, a-t-il déclaré.
Charles Blauner, CISO en résidence à la société de cyberinvestissement Team8, a déclaré que l’affaire oblige M. Sullivan à rendre compte d’une décision commerciale qui relève généralement de la responsabilité d’un autre. La dernière décision concernant le signalement d’un incident aux régulateurs, a-t-il dit, est souvent faite par un avocat général ou un directeur général.
“Les RSSI conseillent et un homme d’affaires prend les décisions commerciales”, a déclaré M. Blauner, ancien chef de la sécurité de Citigroup..
Lui et des dizaines de responsables de la sécurité actuels et anciens ont signé une lettre au tribunal soutenant M. Sullivan.
Quelle que soit la peine prononcée par le juge jeudi, l’affaire a poussé certaines entreprises à préciser plus clairement qui est responsable de quelle communication après une cyberattaque ou une violation de données, a déclaré M. Blauner. Alors que les régulateurs de certains secteurs, notamment la banque et l’énergie, exigent déjà des plans écrits détaillant ces lignes de rapport, d’autres ne le font pas, a-t-il déclaré.
Formuler des politiques spécifiques pour l’escalade et informer les parties à l’intérieur et à l’extérieur d’une entreprise “est une bonne légitime défense”, a-t-il déclaré.
Écrivez à James Rundle à [email protected], Catherine Stupp à [email protected] et Kim S. Nash à [email protected]
Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
