Notre histoire commence de manière tout à fait banale : une grosse société se fait attaquer par un groupe organisé, qui exfiltre des fichiers et demande une rançon pour ne pas les faire fuiter.
Au casting nous avons MeridianLink1 comme victime directe, AlphV comme attaquant ainsi qu’un invité surprise.
L’histoire
Le 7 novembre, le groupe malveillant lance son attaque sur MeridianLink et exfiltre un certain nombre de fichiers. Dans sa revendication, il précise laisser 24 heures à la société pour payer la rançon et éviter la publication des fichiers confidentiels.
Si d’après AlphV la victime les aurait effectivement contactés, le délai s’est écoulé sans paiement ou même début de négociation et AlphV est passé à l’étape suivante de son plan.
C’est là qu’il innove : au lieu de publier les informations volées, au lieu de contacter les individus dont les données personnelles ont été compromises, il a contacté… les autorités. Plus précisément la SEC, le gendarme boursier américain.
Car la société est cotée en bourse à New York MLNK) et donc soumise à la règlementation de la SEC. Or celle-ci dispose depuis le 5 septembre 2023 que les sociétés cotées ont 4 jours ouvrés pour notifier aux investisseurs une brèche significative de sécurité2, ce que MeridianLink n’a pas fait. Dans ce qui semble être une première, AlphV a donc dénoncé à la SEC l’absence de cette notification.
Le site DataBreaches a contacté MeridianLink suite à l’annonce, voici la réponse obtenue :
Safeguarding our customers’ and partners’ information is something we take seriously. MeridianLink recently identified a cybersecurity incident that took place on Nov 10. Upon discovery on the same day, we acted immediately to contain the threat and engaged a team of third-party experts to investigate the incident. Based on our investigation to date, we have identified no evidence of unauthorized access to our production platforms, and the incident has caused minimal business interruption.
We have no further details to offer currently, as our investigation is ongoing.
La protection des informations de nos clients et partenaires est quelque chose que nous prenons au sérieux. MeridianLink a récemment identifié un incident de cybersécurité survenu le 10 novembre. Dès sa découverte le même jour, nous avons immédiatement agi pour contenir la menace et engagé une équipe d’experts tiers pour enquêter sur l’incident. Sur la base de notre enquête à ce jour, nous n’avons identifié aucune preuve d’accès non autorisé à nos plateformes de production, et l’incident a provoqué une interruption minime de nos activités.
Nous n’avons pas d’autres détails à offrir pour le moment, notre enquête étant en cours.
Quelques mots sur cette communication
Prenons un peu de temps pour décortiquer ce communiqué de presse, tous les mots sont importants et ont soigneusement été choisis. D’après DataBreaches, MeridianLink a pu fournir cette réponse rapidement, ce qui laisse sous-entendre qu’elle était prête et que MeridianLink avait préparé un plan de communication en cas de crise. Bravo à eux !
- La première phrase est un marronnier. Impensable de ne pas l’utiliser mais pourtant vide de sens : qui oserait écrire le contraire ?
- On constate un écart de date de l’attaque entre le communiqué (10 novembre) et les articles de la presse spécialisée (7 novembre). Il peut s’agit de la date de détection par leurs équipes de sécurité, ou la date à laquelle ils ont déterminé qu’il s’agissait d’un incident de sécurité.
- « nous n’avons identifié aucune preuve d’accès non autorisé à nos plateformes de production ». Deux points-clé ici :
- ils n’ont identifié aucune preuve d’accès, cela ne signifie pas qu’il n’y en a pas eu, juste qu’ils n’en ont pas trouvé la trace ;
- la précision sur les plateformes de production rassure mais peut vouloir dire que le réseau interne bureautique a été lui compromis.
- Cette même avant-dernière phrase dans son ensemble est importante : un impact minime sur ses activités peut réduire significativement la portée de l’incident et donc la nécessité de devoir faire une notification aux investisseurs.
La SEC réservant cette notification aux incidents significatifs qui peuvent intéresser les investisseurs car pouvant avoir un impact sur le cours boursier, il est intéressant de minimiser l’impact et retarder la détermination en incident. Cela ne signifie pas pour autant que MeridianLink a menti dans sa déclaration !
AlphV serait-il en avance ?
AlphV a tenté d’accentuer la pression sur MeridianLink en les dénonçant à la SEC. En lisant entre les lignes la réponse de la société, on comprend qu’ils n’estiment pas nécessaire cette notification en raison de la faible importance de l’incident.
Un autre point mérite d’être soulevé : cette nouvelle règle de la SEC, à peine un mois d’existence à la date de l’incident, était-elle applicable ? Il semble que non :
With respect to compliance with the incident disclosure requirements in Item 1.05 of Form 8-K and in Form 6-K, all registrants other than smaller reporting companies must begin complying on December 18, 2023.
Les notifications ne seront exigibles qu’à partir du 18 décembre 2023.
Et en France ?
La France, directement ou via l’Union Européenne, a déjà des régimes de déclaration obligatoire d’incidents de sécurité.
Situation3 | Destinataire | Source de l’obligation |
---|---|---|
Violation de données à caractère personnel | CNIL | RGPD, art. 33 |
Incident de sécurité chez un OIV | ANSSI | Code de la défense, art. L1332-6-2 |
Incident de sécurité chez un OSE | ANSSI | Loi n° 2018-133 du 26 février 2018, art. 7 |
Incident de sécurité chez un FSN | ANSSI | Décret n° 2018-384 du 23 mai 2018, art. 20 |
Incident de sécurité chez un prestataire de service de confiance d’identification électronique et les services de confiance pour les transactions électroniques | ANSSI | Règlement européen eiDAS art. 19.2 |
Incident chez une entité manipulant des informations classifiées | ANSSI | II-910 art. 20 |
Incident chez un établissement de santé ou un organisme et service exerçant des activités de prévention, de diagnostic ou de soins | ARS | Code de la santé publique, art. L1111-8-2 |
En conclusion
Les méthodes des groupes malveillants varient, deviennent de plus en plus audacieuses, voire culottées.
Je retiens qu’une fois les fichiers exfiltrés, l’initiative de la communication n’est plus entre les mains de l’entreprise ciblée mais celle de l’attaquant. Ces groupes et leurs communiqués sont suivis par la presse spécialisée, ils communiquent déjà directement avec les utilisateurs dans certains cas et désormais avec les autorités.
Bien que cela ne résolve rien, il me paraît important de communiquer de manière transparente et proactive tout au long de la crise. Cela rassure les clients et probablement les investisseurs, en tout cas plus qu’un laconique communiqué mensonger ; et évite de devoir réagir en catastrophe à un message public de rançon ou un coup de pression.
En cellule de crise, on a autre chose à faire que de peser chaque mot d’un communiqué de presse. Avoir des modèles pré-établis par type de scénario est une bonne pratique, et simplifie grandement le processus de notification. Je tire mon chapeau à MeridianLink, qui avait manifestement préparé un plan de communication.
Crédit photo : Никита Кригер (Pexels)