Le nouveau PDG de SolarWinds présente son plan de sauvetage

Sudhakar Ramakrishna, le PDG récemment installé de SolarWinds – l’entreprise dont la plate-forme de gestion de réseau Orion est au centre de la cyberattaque internationale Solorigate/Sunburst – a établi des plans visant à améliorer à la fois l’approche de l’entreprise à l’égard de sa propre sécurité et à renforcer son devoir de service envers sa clientèle.

Ramakrishna, qui a pris ses fonctions début janvier 2021, après avoir accepté le rôle avant l’annonce de la rupture de l’attaque, a rejoint SolarWinds de Pulse Secure, principalement connu comme un fournisseur d’outils d’accès sécurisé.

Dans un billet de blog fixant ses plans immédiats, Ramakrishna a déclaré qu’il avait traité de nombreux incidents de sécurité très visibles au fil des ans, et a toujours cherché à laisser « l’humilité, la propriété, la transparence, l’action ciblée, et le biais vers la sécurité des clients » être ses principes directeurs, quelque chose qu’il espérait reproduire à SolarWinds.

« J’ai fait de l’appui et de la suite de l’enquête SolarWinds sur cet incident en coopération avec d’importantes parties prenantes – y compris des collègues de l’industrie, des experts tiers en cybersécurité, des organismes d’application de la loi et des services de renseignement du monde entier », a-t-il écrit.

« De loin, mon engagement le plus important est d’aider nos clients et partenaires à relever ce défi avec l’aide et le soutien de toute l’équipe solarwinds.

« Armés de ce que nous avons appris de cette attaque, nous réfléchissons également à nos propres pratiques en matière de sécurité et cherchons des occasions d’améliorer notre posture et nos politiques. Je le fais en travaillant directement avec l’équipe solarwinds pour mener l’amélioration immédiate des systèmes critiques de développement d’entreprises et de produits, dans le but de faire de SolarWinds un leader de la sécurité de l’industrie des logiciels d’entreprise.

« Ces efforts de transformation nécessiteront une attention considérable aux programmes de sécurité, aux politiques, aux équipes et à la culture », a déclaré Ramakrishna.

Le cabinet a déjà engagé un certain nombre d’experts en cybersécurité, y compris l’expertise médico-légale de CrowdStrike, aux côtés de l’ancien chef de la sécurité du gouvernement américain Chris Krebs – congédié par le président sortant Donald Trump après avoir affronté avec lui sur la sécurité électorale – et l’ancien chef de la sécurité facebook Alex Stamos, qui la semaine dernière a lancé leur propre conseil, KS Group.

Ramakrishna a expliqué que son ambition était de transformer SolarWinds en une organisation véritablement « sécurisée par la conception », et à cette fin concentre les efforts internes de l’entreprise sur trois domaines clés. Il s’est ajouté à la sécurité de son environnement interne, à l’amélioration de son environnement de développement de produits et à l’intégrité de ses services et solutions.

En termes plus concrets, SolarWinds déploie des outils de protection et de détection des menaces plus robustes dans tous ses points de terminaison réseau, avec un accent particulier sur ses environnements de développement, réinitialisant les informations d’identification pour tous ses utilisateurs dans les domaines de l’entreprise et du développement, y compris les comptes privilégiés et tous les comptes utilisés par quiconque a quelque chose à voir avec Orion.

Il prend également des mesures pour consolider les voies d’accès à distance et au cloud pour accéder à son réseau et à ses applications en appliquant l’authentification multifactorielle (AMF) dans l’ensemble.

En ce qui concerne son environnement de développement de produits, elle poursuit actuellement l’enquête médico-légale afin d’identifier la cause profonde de la violation et se déplacera à l’avenir vers un nouvel environnement de construction avec des contrôles d’accès plus stricts. Il déploiera également des mécanismes pour « permettre des constructions reproductibles à partir de plusieurs pipelines indépendants ».

En ce qui concerne ses produits et services orientés vers le client, SolarWinds introduira à l’avenir de nouvelles vérifications automatisées et manuelles pour s’assurer que les versions compilées correspondent à son code source, et re-signera tous les logiciels Orion et les produits connexes avec de nouveaux certificats numériques. Son programme de gestion des vulnérabilités est également considérablement élargi, parallèlement à des tests de pénétration plus approfondis, une analyse de code et un plus grand engagement avec la communauté du piratage éthique.

« Nous nous attendons à ce que ces efforts et ces plans guident notre cheminement vers une entreprise encore plus sûre et plus sûre, et nous comprenons qu’il y a beaucoup plus de travail à faire. Dans les semaines à venir, nous prévoyons de partager d’autres plans et programmes qui, selon nous, nous aideront à atteindre cet objectif », a écrit Ramakrishna.