Résumé
- En avril 2020, Cognizant a confirmé qu'un incident de sécurité impliquant ses systèmes et perturbant les services de certains clients résultait d'une attaque du ransomware Maze. L'entreprise a déclaré communiquer avec ses clients et avoir partagé des indicateurs de compromission et des informations techniques de défense.
- La question de responsabilité porte sur qui avait le contrôle concret de la segmentation des services gérés, du confinement des terminaux, de la communication avec les clients, des priorités de restauration, de la divulgation des coûts, des preuves fournies aux clients et de la frontière entre les systèmes de Cognizant et les environnements clients.
- Les documents financiers publics ont par la suite présenté l'événement comme une perturbation des activités ayant entraîné un accès non autorisé à certaines données, affecté certains services clients, déclenché des coûts de confinement et de remédiation, et s'inscrivant dans un contexte de télétravail imposé par la pandémie.
- Le dossier ne permet pas d'affirmer que chaque exposition client, action de l'attaquant ou détail de l'enquête judiciaire est connu publiquement. Il justifie en revanche de considérer l'événement comme un cas de continuité des services informatiques, car une interruption chez un fournisseur peut devenir un événement à risque pour les clients.
- Clients, équipes opérationnelles externalisées, employés, investisseurs, assureurs et équipes de sécurité des clients ont dû évaluer si un incident de ransomware chez un fournisseur modifiait leurs propres hypothèses de continuité, d'accès et de preuves.
Dossier de preuves et son utilisation
Cet article considère le dossier public comme des preuves stratifiées. Les déclarations de Cognizant, les documents destinés aux investisseurs et les dépôts auprès de la SEC sont utilisés pour ce que l'entreprise a publiquement dit à propos de l'attaque du ransomware Maze, des perturbations de services, du confinement, de la remédiation, de l'impact financier et de la communication avec les clients. Les reportages en sécurité et en technologie sont utilisés pour la chronologie publique, les préoccupations des clients et l'interprétation contemporaine, en préservant l'incertitude.
Les conseils gouvernementaux, les références aux techniques adverses et les cadres de contrôle sont utilisés pour expliquer les obligations qui naissent lorsque l'environnement d'un fournisseur peut affecter la continuité des clients.
| # | Document public | Utilisation dans cette analyse |
|---|---|---|
| 1 | Cognizant security incident update | Principale déclaration de l’entreprise confirmant le ransomware Maze, une certaine perturbation des services clients, l’engagement des forces de l’ordre et le partage d’indicateurs et d’informations de défense. |
| 2 | Cognizant first-quarter 2020 results | Communiqué des résultats utilisé pour le langage de confinement, le contexte de continuité des affaires et le cadrage des risques prospectifs. |
| 3 | Cognizant second-quarter 2020 results | Communiqué des résultats utilisé pour le redressement séquentiel, le contexte de demande de services et l’impact du ransomware sur les revenus et les opérations. |
| 4 | Cognizant Q1 2020 earnings supplement | Document investisseur utilisé pour l'estimation de la fourchette d’impact du ransomware au deuxième trimestre et la présentation publique de la direction. |
| 5 | Cognizant Q2 2020 Form 10-Q PDF | Document de dépôt utilisé pour les coûts encourus, la remédiation, les investissements en sécurité et le langage de risque financier continu. |
| 6 | Cognizant Q1 2020 Form 10-Q | Dépôt auprès de la SEC utilisé pour l’accès non autorisé, la perturbation des services, la suspension d’accès des clients, le confinement, la restauration et le langage de risque d’assurance. |
| 7 | Cognizant 2020 Form 10-K | Dépôt annuel utilisé pour le confinement ultérieur, l’éradication, l’impact financier annuel et les divulgations continues des risques de sécurité. |
| 8 | BleepingComputer report on Cognizant Maze ransomware | Reportage de sécurité utilisé pour la chronologie publique initiale et le contexte de l'échelle du fournisseur. |
| 9 | TechCrunch report on Cognizant Maze ransomware | Reportage technologique utilisé pour la confirmation publique et le cadrage des perturbations clients. |
| 10 | CIO Dive report on service disruption | Reportage professionnel utilisé pour le contexte de perturbation des services et de partage d’indicateurs. |
| 11 | CIO Dive report on expected financial impact | Reportage professionnel utilisé pour la discussion publique sur l’impact attendu de 50 à 70 millions de dollars au deuxième trimestre. |
| 12 | CRN report on containment and cleanup costs | Reportage de la chaîne d'approvisionnement utilisé pour les appels clients, la discussion sur les coûts de remédiation et le contexte de réassurance des clients. |
| 13 | SecurityWeek report on data stolen in the attack | Reportage de sécurité utilisé pour la dimension ultérieure d’exposition des données et le contexte de notification aux clients, sans extrapoler à des faits inconnus client par client. |
| 14 | BankInfoSecurity report on Cognizant disruption | Reportage de sécurité utilisé pour la perturbation, le contexte Maze et la communication client. |
| 15 | MSSP Alert status update on Cognizant recovery | Reportage sur les services gérés utilisé pour les jalons de la réponse, les indicateurs, les appels clients et le cadrage de la reprise. |
| 16 | CISA StopRansomware Guide | Guide gouvernemental utilisé pour les obligations de préparation, de réponse, de reprise et de communication en matière de ransomware. |
| 17 | CISA advisory on managed service provider threats | Avis gouvernemental utilisé pour encadrer les obligations en matière de chemins de confiance fournisseur-client, de segmentation et de surveillance. |
| 18 | MITRE ATT&CK data encrypted for impact technique | Référence de technique pour le chiffrement par ransomware et la perturbation opérationnelle. |
| 19 | MITRE ATT&CK inhibit system recovery technique | Référence de technique pour les attaques contre les capacités de récupération. |
| 20 | MITRE ATT&CK valid accounts technique | Référence de technique pour le risque lié aux informations d’identification et aux accès de confiance dans les environnements fournisseurs. |
| 21 | NIST Cybersecurity Framework | Référence de norme pour le langage d’identification, de protection, de détection, de réponse et de rétablissement. |
| 22 | CIS Critical Security Controls | Référence de contrôle pour l’inventaire, les comptes, la journalisation, la récupération, les fournisseurs de services et la surveillance de la sécurité. |
Pourquoi un incident de ransomware chez un fournisseur est devenu un événement à risque pour les clients
L'incident du ransomware Maze de Cognizant en 2020 est important parce que Cognizant n'était pas une simple entreprise essayant de récupérer ses propres fichiers. C'était un fournisseur de services informatiques et de services professionnels pour d'autres organisations. Ce rôle modifie les enjeux concrets. Un fournisseur peut détenir des connaissances opérationnelles, des accès de support, des flux de travail de helpdesk, des dossiers de projet, des informations d'identification d'infrastructures gérées, une connectivité aux réseaux clients et la confiance dont les clients ont besoin pour maintenir leurs processus externalisés.
Lorsque le fournisseur est victime d'un ransomware, les clients ne se demandent pas seulement si le fournisseur peut se rétablir. Ils se demandent si l'accès, les outils et les preuves du fournisseur ont modifié leur propre exposition.
La première mise à jour publique de Cognizant indiquait qu'un incident de sécurité impliquant ses systèmes et entraînant des perturbations de service pour certains clients était le résultat d'une attaque du ransomware Maze. L'entreprise a déclaré communiquer avec ses clients et avoir fourni des indicateurs de compromission et des informations techniques de défense. Cette déclaration est brève, mais elle contient tout le cadre de responsabilité. L'incident impliquait les systèmes de Cognizant. Il touchait certains services clients. Les clients ont reçu des informations de défense.
Les forces de l'ordre et des spécialistes extérieurs ont été associés à la réponse. Un incident côté fournisseur a donc immédiatement des répercussions sur le travail côté client.
La question utile n'est pas de savoir si un ransomware est dangereux. C'est qui contrôlait les preuves et les décisions de reprise. Cognizant contrôlait les systèmes affectés, l'enquête de forensique, le confinement, les priorités de restauration, les communications avec les clients et la communication financière. Les clients contrôlaient leurs propres décisions de maintenir ou de suspendre l'accès à Cognizant, d'examiner les journaux, d'activer les plans de continuité et de décider si l'activité du fournisseur devait être considérée comme fiable ou risquée.
Les investisseurs et les assureurs dépendaient des informations financières publiques de Cognizant pour estimer les coûts, les interruptions d'activité et les risques continus.
C'est pourquoi l'incident constitue un test de responsabilité plutôt qu'une simple étiquette de violation. Les événements de ransomware se réduisent souvent à un seul titre: les systèmes sont chiffrés. Les événements chez un fournisseur exigent une carte plus large. Quels services ont été perturbés? Quels clients ont perdu le service? Quels clients ont suspendu l'accès du fournisseur par précaution? Quels systèmes du fournisseur contenaient des données clients? Quels environnements clients sont restés connectés? Quels systèmes prenaient en charge la capacité de télétravail pendant la pandémie?
Quelles décisions de restauration protégeaient le plus grand nombre de clients sans accroître le risque pour un client en particulier? Le dossier public répond à certaines de ces questions et laisse d'autres dans le domaine privé.
Ce que le dossier public établit
Le dossier public établit plusieurs éléments avec un haut niveau de confiance. Cognizant a publiquement confirmé le ransomware Maze en avril 2020. L'entreprise a déclaré que certains clients ont subi des perturbations de service. Elle a déclaré communiquer avec ses clients et partager des indicateurs et des informations de défense. Son dépôt du premier trimestre a par la suite indiqué que l'attaque avait entraîné un accès non autorisé à certaines données et provoqué une perturbation significative de l'activité.
Il a également précisé que certains clients ont subi des perturbations de service parce que Cognizant dépendait de systèmes et de réseaux affectés pour exécuter des travaux clients et parce que les systèmes soutenant la capacité de télétravail ont été touchés. Le dépôt a ajouté que certains clients ont suspendu l'accès de Cognizant à leurs réseaux par mesure de sécurité.
Ces faits suffisent à rendre l'incident important pour une analyse de continuité. Si un client suspend l'accès d'un fournisseur, il peut réduire le risque cyber mais perdre la prestation de service. Si le fournisseur maintient l'accès, le client peut poursuivre ses opérations mais doit faire confiance aux preuves de confinement du fournisseur. Ce compromis n'est pas théorique. Le dépôt de Cognizant décrit explicitement l'incapacité de continuer à fournir des services via les réseaux clients jusqu'à ce que l'accès soit rétabli lorsque les clients ont choisi une suspension de précaution.
La reprise du fournisseur et l'appétit pour le risque du client étaient liés.
Le dossier public établit également une importance financière. Les documents destinés aux investisseurs et les résultats publics de Cognizant ont discuté de l'impact financier attendu et encouru de l'incident du ransomware. Les médias professionnels ont relayé la discussion publique sur l'impact de 50 à 70 millions de dollars au deuxième trimestre d'après les commentaires de la direction. Les documents de dépôt ultérieurs font référence aux coûts d'enquête, de confinement, de remédiation, de frais juridiques et professionnels, d'améliorations de la sécurité et aux éventuelles limites d'assurance.
Le but n'est pas de réduire l'incident à une ligne de coût. L'important est que la réponse a mobilisé l'attention de la direction, la confiance des clients et des liquidités.
Le dossier n'établit pas tous les faits privés. Il ne donne pas de liste publique des clients, systèmes, fichiers, terminaux, comptes ou catégories de données affectés. Il ne publie pas les conclusions complètes de l'enquête ni chaque notification spécifique aux clients. SecurityWeek a rapporté par la suite que Cognizant avait informé des clients que des informations personnelles et financières avaient été volées; l'article utilise ce reportage comme contexte d'exposition des données, pas comme un inventaire public complet de l'exposition client par client.
Les dépôts de Cognizant sont une source plus solide pour la position publique de l'entreprise et l'impact commercial.
La conclusion publique la plus solide est donc précise. L'incident Maze de Cognizant est devenu un test de responsabilité de la continuité des services informatiques parce que les systèmes du fournisseur, la prestation de services aux clients, les décisions d'accès des clients, les preuves de forensique et la communication financière sont tous devenus liés dans le dossier public.
La frontière de service était l'objet central de confiance
L'objet central de confiance n'était pas uniquement un serveur ou une base de données. C'était la frontière de service entre Cognizant et ses clients. Cette frontière incluait les identités, l'accès à distance, les systèmes de projet, les outils de prestation, la connectivité client, la documentation, les communications et les relations humaines par lesquelles le travail externalisé est accompli. Lorsque l'environnement de Cognizant a été frappé, cette frontière a dû être revalidée.
Les clients devaient savoir si l'accès de Cognizant à leurs réseaux restait sûr, si les services fournis par Cognizant pouvaient continuer, et si les preuves de Cognizant étaient suffisantes pour soutenir leurs propres décisions.
C'est la même logique qui fait des fournisseurs de services gérés des cibles attractives. Un fournisseur peut être précieux parce qu'il concentre l'expertise et l'accès reproductible. Il peut être risqué en cas de compromission pour la même raison. L'avis sur les fournisseurs de services gérés de la CISA met en garde de manière générale contre les chemins de confiance fournisseur-client et la nécessité de surveiller, segmenter et contrôler les accès. Ce guide ne prouve aucun fait privé concernant Cognizant.
Il explique pourquoi les clients devaient prendre l'incident au sérieux même si leurs propres systèmes ne montraient aucun dommage évident.
La frontière de service a deux côtés. Cognizant devait contenir et récupérer ses propres systèmes. Les clients devaient décider de maintenir, restreindre, surveiller ou suspendre l'accès. La décision d'un client de suspendre l'accès peut être prudente mais coûteuse. Le fournisseur ne peut pas fournir certains services sans cet accès. Le langage du dépôt rend le compromis visible: lorsque les clients suspendaient l'accès, Cognizant ne pouvait pas continuer à fournir des services via ces réseaux clients jusqu'à ce que l'accès soit rétabli.
Cela signifie que le confinement de la cybersécurité et la continuité du service n'étaient pas des volets séparés. Ils constituaient le même problème commercial.
Les preuves rendent la frontière gouvernable. Un fournisseur peut dire à un client quels systèmes ont été affectés, quels comptes ont été désactivés, quels indicateurs rechercher, quelle fenêtre temporelle est pertinente, et quels services en contact avec le client sont dans le périmètre ou non. Le client peut alors examiner ses journaux, surveiller les comptes du fournisseur, prendre une décision de risque concernant l'accès et documenter son raisonnement. Sans preuves, le client doit soit faire confiance largement, soit couper largement. Les deux options ont un coût.
La question de responsabilité est donc le contrôle concret. Cognizant contrôlait la plupart des preuves côté fournisseur. Les clients contrôlaient leurs propres décisions d'accès. Plus l'échange de preuves est bon, plus le choc de continuité est faible.
Confinement sous la pression du ransomware
Le confinement d'un ransomware diffère d'un nettoyage ordinaire car l'adversaire peut encore être actif, les systèmes peuvent être chiffrés ou isolés, et les systèmes de récupération peuvent être ciblés. Les techniques de « données chiffrées pour impact » et « inhibition de la récupération système » du MITRE décrivent en termes généraux les objectifs courants des attaquants: rendre les données ou les systèmes indisponibles et entraver la restauration. Le guide sur les ransomwares de la CISA insiste de manière similaire sur la préparation, le confinement, les sauvegardes, la communication et la récupération.
Dans le cas d'un fournisseur, ces tâches se déroulent tandis que les clients demandent s'ils peuvent continuer à dépendre du fournisseur.
Les déclarations publiques de Cognizant ont rapidement utilisé un langage de confinement. Le communiqué des résultats du premier trimestre indiquait que l'entreprise pensait avoir contenu l'attaque et que l'acteur n'opérait plus dans son environnement. Les dépôts officiels ont employé un langage plus prudent concernant l'enquête en cours et la restauration. Le dépôt annuel ultérieur précisait que, sur la base des mesures de remédiation et de la surveillance continue, l'entreprise pensait avoir contenu l'attaque et éradiqué les vestiges de l'activité de l'attaquant de son environnement. L'évolution du langage est importante.
Le confinement précoce est une évaluation de travail. Le langage d'éradication ultérieur, étayé par une surveillance supplémentaire, est une affirmation plus solide.
Pour les clients, les affirmations de confinement doivent se traduire en décisions. Si Cognizant affirme que l'attaquant n'opère plus dans l'environnement, quelles preuves soutiennent la restauration de l'accès du fournisseur? Les comptes affectés ont-ils été désactivés? Les chemins d'accès à distance ont-ils été examinés? Les terminaux ont-ils été reconstruits? Les informations d'identification privilégiées ont-elles été renouvelées? Les systèmes soutenant la prestation client ont-ils été validés avant d'être reconnectés? Les outils en contact avec le client ont-ils été séparés des systèmes affectés?
Le dossier public ne répond pas à toutes ces questions, mais il montre pourquoi ces questions faisaient partie des appels clients et du partage d'informations de défense.
Le ransomware crée également une pression pour restaurer rapidement. Chaque heure d'indisponibilité peut réduire les revenus, briser les attentes de service, interrompre les processus clients et semer la confusion chez les employés. Mais la vitesse peut entrer en conflit avec l'assurance. Une reconnexion précipitée peut restaurer le service tout en préservant des points d'ancrage de l'attaquant ou des systèmes endommagés. Une restauration lente peut protéger l'intégrité mais prolonger la perturbation pour le client. La responsabilité est la discipline qui consiste à expliciter ce compromis. Quels services ont été restaurés en premier?
Quels contrôles devaient être prouvés avant la reconnexion? Quels clients ont accepté le risque résiduel? Quels clients ont suspendu l'accès en attendant des preuves supplémentaires?
Le dossier public donne un aperçu plutôt qu'un manuel complet. C'est normal. La leçon de responsabilité est qu'un fournisseur devrait être capable de reconstituer le manuel pour les clients, les auditeurs, les assureurs et les conseils d'administration après coup.
La communication client faisait partie du système de contrôle
La première mise à jour de Cognizant indiquait être en communication continue avec les clients et avoir fourni des indicateurs et des informations techniques de défense. Ce n'est pas qu'un langage de relations publiques. Dans un incident chez un fournisseur, la communication fait partie du système de contrôle. Les clients ne peuvent pas rechercher d'activité pertinente si le fournisseur ne leur donne pas les indicateurs, les fenêtres temporelles, les chemins d'accès affectés et les actions recommandées. Ils ne peuvent pas décider de suspendre l'accès si le fournisseur n'explique pas ce qui est connu et inconnu.
Les indicateurs sont utiles, mais ils ne constituent pas une notification complète. Un client a besoin de contexte: si l'indicateur est associé à l'accès initial, au déplacement latéral, au chiffrement, à l'infrastructure de commande et contrôle, à l'utilisation d'identifiants ou à l'activité post-compromission. Il a besoin de la période temporelle. Il doit savoir si l'indicateur a été observé uniquement dans les systèmes du fournisseur ou s'il concerne les environnements clients. Il a besoin d'un point de contact pour les suivis. Une liste brute peut aider une équipe de sécurité, mais un décideur a aussi besoin d'un récit de responsabilité.
La presse spécialisée a rapporté que Cognizant a tenu des appels avec ses clients et a eu de nombreuses conversations individuelles. Cela est cohérent avec l'ampleur et la gravité de l'événement. Un fournisseur ayant des clients mondiaux ne peut pas se contenter d'une seule déclaration publique. Différents clients auront différents services, modèles d'accès, obligations contractuelles, devoirs réglementaires et tolérances au risque. Un client du secteur de la santé, des services financiers, du commerce de détail et un petit client de processus métier peuvent avoir besoin de dossiers de preuves différents.
La communication devait également fonctionner pendant la perturbation opérationnelle. Un ransomware peut affecter les e-mails, les annuaires, les outils de collaboration, les systèmes de tickets et les canaux de support. Les reportages autour de l'incident ont décrit des difficultés de communication sur certains canaux. Que chaque détail de ces rapports soit vérifiable ou non par les dépôts publics, la leçon générale est claire: le plan de communication d'incident d'un fournisseur ne doit pas reposer entièrement sur des systèmes qui pourraient être désactivés pendant l'incident.
Des listes alternatives de contacts clients, des canaux hors bande vérifiés, des ponts de direction et des contacts de sécurité préétablis peuvent réduire la confusion.
La norme de responsabilité n'est pas la connaissance parfaite dès le premier jour. C'est l'honnêteté progressive: ce qui est confirmé, ce qui est en cours d'investigation, ce que les clients doivent faire maintenant, ce qu'ils ne doivent pas supposer, et quand la prochaine mise à jour arrivera. Cette discipline de communication est un contrôle de sécurité.
La communication financière a rendu la résilience mesurable
La communication financière d'une entreprise cotée n'est pas une autopsie technique, mais elle peut rendre la résilience mesurable d'une manière que les récits de sécurité ne font pas. Les dépôts de Cognizant décrivaient la perturbation des affaires, l'impact attendu au deuxième trimestre, les pertes de revenus, les coûts de confinement et de remédiation, les frais juridiques et professionnels, les investissements en sécurité, l'incertitude quant à l'assurance, la publicité négative, le dommage à la réputation, la perte de confiance des clients, les actions réglementaires, les litiges et les conflits avec les assureurs.
Ce langage est large car les dépôts couvrent les risques. Il est également utile car il montre comment un événement de ransomware se propage dans une entreprise de services.
La dimension financière compte pour la responsabilité pour trois raisons. Premièrement, elle oblige la direction à relier la réponse technique aux opérations commerciales. Un fournisseur peut dire qu'un incident est contenu, mais l'impact sur les revenus, la perturbation des services clients et les coûts de remédiation montrent si le confinement s'est traduit en reprise d'activité. Deuxièmement, elle aide les clients et les investisseurs à comprendre la durée. Une annonce d'un jour peut engendrer des coûts sur un trimestre ou une année.
Troisièmement, elle révèle quels coûts sont incertains: l'assurance peut ne pas tout couvrir, des réclamations juridiques peuvent apparaître et les investissements en sécurité peuvent se poursuivre bien après la reprise du service.
La discussion publique sur l'impact de 50 à 70 millions de dollars au deuxième trimestre doit être lue avec attention. Elle décrivait l'impact attendu du ransomware sur les revenus et la marge correspondante, pas un coût total à vie de toutes les conséquences. Le dépôt du deuxième trimestre a ultérieurement fait référence aux coûts encourus liés à l'attaque et aux coûts supplémentaires significatifs continus pour la remédiation et le renforcement de la sécurité. Le dépôt annuel a placé l'incident parmi de multiples forces affectant les résultats de 2020, y compris la pandémie et les sorties d'activités.
Un lecteur attentif ne devrait pas fusionner ces catégories à la légère.
Néanmoins, le dossier financier confirme qu'il s'agissait d'un travail de gestion significatif, pas d'un incident système mineur. Il a affecté la prestation de services, les revenus, les coûts et les divulgations de risques. Pour les clients, cela importe car un incident financièrement significatif chez un fournisseur peut affecter le personnel, la performance des niveaux de service, les priorités d'investissement et la confiance contractuelle. Pour les assureurs, cela importe car les limites de couverture, les dépenses de remédiation et les réclamations d'interruption d'activité deviennent un terrain contesté.
La communication financière ne dit pas quels systèmes clients ont été exposés. Elle montre en revanche que la reprise du fournisseur et la continuité des clients étaient économiquement liées.
L'exposition des données et les limites de la certitude publique
En 2020, les ransomwares impliquaient de plus en plus le vol de données en plus du chiffrement. Maze en particulier est devenu associé à des tactiques de pression incluant des allégations de données volées. Dans le cas de Cognizant, le dossier public inclut le langage de dépôt de Cognizant selon lequel l'attaque a entraîné un accès non autorisé à certaines données. SecurityWeek a rapporté par la suite que Cognizant avait informé des clients du vol d'informations personnelles et financières. L'article utilise ces enregistrements pour reconnaître une dimension d'exposition des données.
Il ne prétend pas que le dossier public révèle chaque ensemble de données, personne ou client affecté.
Cette distinction est importante car les incidents chez un fournisseur peuvent brouiller les catégories de données. Un fournisseur peut détenir ses propres données d'employés, des données d'entreprise, des documents de projet client, des identifiants, des enregistrements de service, des informations de tickets ou des données traitées pour le compte de clients. Chaque catégorie crée des devoirs différents. Les données d'employés peuvent nécessiter une notification aux employés et un traitement réglementaire. Les données clients peuvent exiger une notification contractuelle et des actions en aval menées par le client.
La documentation de projet peut révéler une architecture ou des chemins d'accès sans être des données personnelles. Les identifiants ou secrets exigent une rotation immédiate. Les dépôts publics décomposent rarement tout cela.
Les clients avaient donc besoin de preuves adaptées. Les données affectées incluaient-elles leurs données? Incluaient-elles des identifiants Cognizant qui touchaient leur environnement? Incluaient-elles des documents de projet ou des tickets de support? Incluaient-elles des informations personnelles ou financières de leurs employés ou clients? Les informations de défense de Cognizant incluaient-elles des indicateurs pertinents pour un éventuel accès aux données? Ce ne sont pas des questions académiques.
Elles déterminent si un client ouvre son propre incident, notifie les régulateurs, renouvelle les clés, révise les accès ou cherche des recours contractuels.
L'incertitude publique ne doit pas être comblée ni par l'alarmisme ni par le confort. L'alarmisme supposerait que tous les clients ont été exposés de la même manière. Le confort traiterait l'absence de détails publics comme une absence de risque. La position responsable est que Cognizant contrôlait une grande partie des preuves côté fournisseur et que les clients avaient besoin de réponses spécifiques à leur cas.
Le fait que certains détails soient restés privés est compréhensible dans une réponse en direct à un ransomware; cela signifie aussi que la responsabilité externe doit se concentrer sur les devoirs de preuve plutôt que sur des spécificités inventées.
L'obligation du fournisseur est la plus forte là où les clients ne peuvent pas voir indépendamment les faits pertinents. Un client peut examiner ses propres journaux. Il ne peut pas inspecter les terminaux de Cognizant, les partages de fichiers, les systèmes d'identité, les images de forensique et les étapes de restauration à moins que Cognizant ne partage des preuves. Ce déséquilibre est au cœur de la question de l'exposition des données.
Automatisation de la sécurité et priorités de restauration
L'automatisation de la sécurité apparaît dans ce dossier à la fois comme une aide et un risque. Les grands fournisseurs de services informatiques dépendent de systèmes automatisés de gestion des identités, de détection sur les terminaux, de distribution de logiciels, de gestion à distance, de billetterie, de surveillance, d'orchestration des services, de processus de sauvegarde et de systèmes de reporting client. Pendant une réponse à un ransomware, l'automatisation peut isoler les terminaux, distribuer les indicateurs, révoquer les accréditations, reconstruire les systèmes et restaurer les configurations connues comme saines.
Elle peut aussi propager un état défectueux, échouer en raison de dépendances indisponibles ou créer des angles morts si l'attaquant désactive la surveillance.
Le dossier public n'identifie pas chaque outil de Cognizant impliqué. Cela n'est pas nécessaire pour poser la question de la responsabilité. La question est de savoir si l'automatisation a produit des preuves de confinement et de restauration vérifiables. Cognizant pouvait-il dire quels terminaux étaient affectés? Quels comptes ont été utilisés? Quels systèmes ont été mis hors ligne par précaution? Quels outils en contact avec les clients pouvaient être restaurés en toute sécurité? Quelles sauvegardes étaient propres? Quelle surveillance montrait que l'attaquant n'était plus actif?
Quels systèmes nécessitaient de nouveaux contrôles avant reconnexion?
L'automatisation affecte également la priorité de restauration. Un fournisseur ne peut pas tout restaurer en toute sécurité d'un coup. Il doit choisir quels services, régions, clients et fonctions de support reviennent en premier. Ces choix devraient être fondés sur la criticité, l'impact client, la confiance dans le confinement, l'ordre des dépendances et la qualité des preuves. Un service qui soutient de nombreux clients peut être prioritaire, mais s'il ne peut pas être validé, le restaurer trop tôt peut créer un risque plus grand.
Un processus pour un petit client peut être urgent sur le plan opérationnel s'il soutient les soins de santé, les paiements, la logistique ou les services publics. La priorité de reprise est une décision de responsabilité, pas seulement une file d'attente technique.
Les clients ont besoin de visibilité sur cette logique. Ils n'ont pas besoin de chaque détail système, mais ils doivent savoir si leur service est retardé par le confinement technique, la suspension d'accès, le manque de ressources ou le triage commercial. Ils ont besoin de fenêtres de reprise attendues et de solutions de contournement provisoires. Dans un modèle externalisé, l'automatisation et les choix de restauration du fournisseur peuvent décider si un client peut continuer à fonctionner.
C'est pourquoi le sujet manifeste de l'automatisation de la sécurité s'intègre dans ce cas. L'automatisation n'est pas un bouclier magique. Elle est responsable lorsqu'elle peut produire des preuves, préserver les frontières et soutenir une reprise disciplinée sous pression.
Dépendance au cloud sans violation d'une plateforme cloud pure
L'incident de Cognizant n'était pas une panne du plan de contrôle d'un cloud public, mais la dépendance au cloud fait néanmoins partie du cadre. Les fournisseurs de services informatiques opèrent via des outils de collaboration hébergés, la gestion des identités, la billetterie, l'accès à distance, les portails clients, la surveillance de sécurité et les systèmes de processus métier délivrés dans le cloud. Les clients consomment souvent le fournisseur comme un service, même lorsque le travail sous-jacent s'étend sur des personnes, des applications, des réseaux et des opérations spécifiques au client.
Une attaque ransomware sur l'environnement du fournisseur peut donc perturber le travail médié par le cloud même si aucun fournisseur de cloud public n'a connu de défaillance.
Les dépôts de Cognizant faisaient référence à la dépendance à l'égard des systèmes et réseaux affectés pour exécuter le travail des clients et aux systèmes soutenant la capacité de télétravail. En avril 2020, ce contexte de télétravail n'était pas accessoire. La pandémie de COVID-19 avait déjà modifié les hypothèses de prestation dans l'ensemble des services mondiaux. La reprise du fournisseur devait se faire alors que les employés et les clients s'adaptaient aux opérations à distance. Cela rendait l'identité, la gestion des appareils, la collaboration et le support à distance plus centraux.
La dépendance au cloud modifie également les attentes en matière de preuves. Un client peut voir un compte fournisseur dans son tenant ou son réseau, mais il peut ne pas voir l'état des terminaux du fournisseur, les journaux d'identité, les tickets de support ou les alertes de surveillance. Un fournisseur peut exécuter des travaux en contact avec le client via des outils SaaS dont les journaux, les règles de rétention et les contrôles d'accès diffèrent des systèmes traditionnels sur site. Si ces outils sont affectés, les clients ont besoin de descriptions claires de ce qui était en panne, de ce qui a été compromis et de ce qui a été restauré.
Cela ne signifie pas que chaque système cloud client a été affecté. Le dossier public ne soutient pas cette affirmation. Cela signifie que la dépendance au fournisseur ne se limite plus à un centre de données ou à un réseau de bureau. Elle passe par l'identité, la collaboration, les services gérés et les outils basés sur le cloud. Un événement de ransomware chez un fournisseur peut donc forcer les clients à examiner l'accès au cloud, les comptes de service, les outils de support à distance et la continuité des processus externalisés.
Pour les petits et moyens clients, la dépendance peut être aiguë. Ils peuvent externaliser l'infrastructure, le support, les processus métier ou la maintenance d'applications parce qu'ils manquent de personnel interne qualifié. Lorsque le fournisseur est perturbé, ils doivent soudainement effectuer un travail de risque fournisseur et de réponse aux incidents avec des ressources limitées. C'est la dimension de continuité de service pour les PME du cas Cognizant.
La décision des clients de suspendre l'accès
L'un des détails les plus révélateurs du dépôt de Cognizant est que certains clients ont suspendu l'accès de Cognizant à leurs réseaux par précaution de sécurité. Ce seul fait montre comment les incidents chez un fournisseur créent un problème de continuité à double sens. Le client peut avoir raison de suspendre l'accès car il ne peut pas encore être sûr que le fournisseur est sûr. Le fournisseur peut alors être incapable de fournir des services qui nécessitent un accès au réseau client. L'action qui protège le client peut également interrompre le client.
La bonne décision dépend des preuves et de la criticité du service. Si l'on soupçonne qu'un compte fournisseur a été compromis, la suspension peut être nécessaire. Si le fournisseur peut montrer que le chemin d'accès concerné n'a pas été affecté et que la surveillance est en place, le maintien de l'accès avec des contrôles supplémentaires peut être raisonnable. Si le service est critique pour la mission, le client peut choisir un modèle d'accès restreint plutôt qu'une suspension complète. Si le service n'est pas critique, le client peut attendre des preuves plus solides. Il n'y a pas de réponse unique pour chaque client.
L'échec de la responsabilité serait de laisser les clients avec un choix binaire: tout faire confiance ou tout couper. L'accès mature d'un fournisseur devrait prendre en charge des contrôles progressifs. Un client devrait pouvoir restreindre les opérations privilégiées, exiger une approbation pour les sessions, limiter l'accès à des systèmes spécifiques, augmenter la journalisation, renouveler les accréditations, désactiver les comptes partagés ou passer à un support en lecture seule. Le fournisseur devrait être en mesure d'opérer sous ces restrictions lorsque cela est possible.
Les contrats et l'architecture devraient anticiper cet état avant un incident.
Le dossier public de Cognizant ne montre pas chaque décision de client. Il montre que certains clients ont exercé un contrôle de précaution. Cela est important car cela contredit l'idée que la réponse du fournisseur n'est que l'affaire du fournisseur. Les clients sont des propriétaires de risque actifs. Ils peuvent et doivent décider si l'accès du fournisseur reste acceptable. Mais ils ont besoin de preuves du fournisseur pour prendre la décision efficacement.
Le détail de la suspension affecte également l'interprétation financière. Les pertes de revenus ou les perturbations de service peuvent provenir de dommages techniques directs, d'arrêts de précaution du fournisseur ou de la suspension d'accès par les clients. Ce sont des mécanismes différents. Une bonne revue de responsabilité les sépare car chacun exige un contrôle futur différent.
La continuité des activités n'est pas la même chose que la restauration des sauvegardes
La récupération après un ransomware se concentre souvent sur les sauvegardes, mais la continuité des activités est plus large. Un fournisseur peut restaurer des fichiers et ne pas réussir à restaurer la confiance des clients, le personnel, la communication, la performance des niveaux de service, l'accès sécurisé et l'échange de preuves. L'incident de Cognizant est survenu pendant la perturbation pandémique, ce qui a rendu la continuité encore plus complexe. Les employés passaient au travail à distance, les clients faisaient face à leur propre stress opérationnel et la demande de services numériques évoluait.
L'événement de ransomware ne s'est pas produit dans un laboratoire propre.
La continuité des activités pour un fournisseur de services informatiques inclut la capacité de prestation, l'accès à distance, l'escalade de support, la communication client, la facturation et l'administration des contrats, la collaboration des employés, la disponibilité sécurisée des terminaux et la capacité à prouver quels systèmes sont sûrs. Elle inclut également la priorisation entre les clients et les services. Un fournisseur peut être capable de restaurer les opérations de haut niveau alors que certains services spécifiques au client restent dégradés.
Une déclaration publique selon laquelle les opérations s'améliorent ne signifie pas nécessairement que chaque processus client a été rétabli.
Les dépôts rendent cela visible à travers les revenus, les coûts, l'accès clients et le langage de perturbation de service. L'attaque a perturbé la capacité de Cognizant à fournir des services à certains clients et a créé des coûts pour l'enquête, le confinement, la remédiation et les améliorations de sécurité. Les résultats ultérieurs ont discuté de la reprise et des conditions commerciales en cours. C'est la véritable forme du ransomware dans une entreprise de services: la restauration est un processus commercial avec des prérequis techniques.
Les clients devraient mesurer la continuité du fournisseur par les résultats de service, pas seulement par le statut du fournisseur. Le fournisseur peut-il effectuer le travail contractuel? Peut-il le faire en toute sécurité? Peut-il communiquer via des canaux de confiance? Peut-il prouver que l'accès du fournisseur est propre? Peut-il respecter les niveaux de service ou fournir des solutions de contournement provisoires? Peut-il dire au client quels risques résiduels demeurent? Ces questions sont plus utiles que de demander si le réseau du fournisseur est simplement en marche.
Les fournisseurs devraient de même tester la continuité dans des conditions adverses. Un exercice normal de reprise après sinistre peut supposer que les systèmes tombent en panne mais que les identités restent dignes de confiance. Un exercice de ransomware doit supposer que les identités, les terminaux, les sauvegardes et la surveillance peuvent être suspects. Il doit également supposer que les clients peuvent suspendre l'accès jusqu'à ce qu'ils reçoivent des preuves. C'est un test plus difficile et meilleur.
Assurance, litiges et coûts de confiance
Les dépôts de Cognizant décrivaient les conséquences potentielles incluant la publicité négative, le dommage à la réputation, la perte de confiance des clients, les mesures réglementaires, les litiges, les règlements et les conflits avec les assureurs. Ce ne sont pas des formules stéréotypées dans le contexte d'un incident majeur de ransomware. Elles décrivent le marché secondaire de la responsabilité qui suit la récupération.
Une fois les systèmes restaurés, les parties se disputent encore sur la répartition des coûts, les obligations contractuelles, la suffisance des preuves, le moment de la notification et la question de savoir si les pertes sont couvertes.
L'assurance importe car les coûts d'un ransomware ne tombent pas dans une seule case. Il peut y avoir des dépenses de forensique, des frais juridiques, des coûts de notification, des problèmes liés à la rançon, la restauration du système, l'interruption d'activité, les réclamations des clients, les coûts réglementaires et les améliorations de sécurité. La couverture peut dépendre du libellé de la police, des exclusions, du moment, de la coopération et de la classification des pertes comme directes ou contingentes.
Un fournisseur qui sert de nombreux clients peut faire face à des réclamations complexes car la perturbation des clients peut être en aval de la compromission du fournisseur.
Le risque de litige importe pour des raisons similaires. Les clients peuvent demander si le fournisseur a respecté les obligations contractuelles, si les contrôles de sécurité étaient raisonnables, si la notification était opportune, si des crédits de niveau de service s'appliquent ou si la conduite du fournisseur a causé des pertes au client. Les dépôts de Cognizant ne concèdent pas toutes ces réclamations; les dépôts identifient les risques. Le point de responsabilité est que les preuves de la reprise devraient être constituées en gardant à l'esprit un examen futur.
Les décisions, les calendriers, les notifications et les approbations de restauration devraient être documentés car ils peuvent plus tard déterminer la responsabilité et la confiance.
La confiance perdue est plus difficile à chiffrer mais centrale dans ce cas. Un client peut poursuivre un contrat après un événement de ransomware si le fournisseur communique bien et prouve son contrôle. Un autre client peut partir même si la perte technique directe est limitée, parce que les preuves du fournisseur n'ont pas satisfait le comité des risques du client. La confiance n'est pas sentimentale ici. C'est la confiance du client que l'accès externalisé reste gouvernable.
Le dossier financier public renforce donc le dossier opérationnel. La reprise après un ransomware n'est pas terminée lorsque les systèmes démarrent. Elle n'est complète que lorsque les services, les preuves, la confiance des clients et la répartition des coûts se sont stabilisés.
Ce que des preuves clients plus solides auraient montré
Un dossier public plus solide n'exigerait pas d'exposer des noms de clients sensibles ou des détails de forensique. Il montrerait la forme des preuves clients au bon niveau d'abstraction. Par exemple: les catégories de systèmes affectés, si les systèmes de prestation en contact avec le client étaient inclus, combien de clients ont subi une perturbation de service, combien ont suspendu l'accès, quelles catégories de données ont été consultées, quels indicateurs ont été partagés, quelles fenêtres temporelles les clients ont été invités à examiner et quels jalons de reprise ont dû être atteints avant que l'accès client ne soit restauré.
Pour les clients individuels, le dossier de preuves devrait être plus spécifique. Il devrait identifier les comptes Cognizant concernés, les services, les terminaux, les tickets, les outils et les fenêtres d'accès. Il devrait dire si les données ou l'environnement du client étaient dans le périmètre, quels journaux Cognizant a examinés, quels indicateurs s'appliquent, si les accréditations ont été renouvelées, si les sessions du fournisseur ont été préservées et quelles actions le client devrait entreprendre. Il devrait également dire ce qui reste inconnu. Un client peut gérer l'incertitude si elle est étiquetée.
Le fournisseur devrait également pouvoir fournir des preuves de segmentation. Si une équipe ou un système de prestation a été affecté, qu'est-ce qui a empêché cet effet de se propager à des clients non liés? Les comptes étaient-ils uniques par client? Les sessions à distance étaient-elles journalisées? Les environnements clients étaient-ils séparés par des contrôles d'identité et de réseau? Les outils partagés ont-ils été durcis avant la reconnexion? Les sauvegardes ont-elles été testées pour leur intégrité? Les comptes privilégiés ont-ils été examinés dans l'ensemble du parc?
Ces questions sont standard pour la responsabilité d'un fournisseur.
Pour les investisseurs et les assureurs, des preuves plus solides relieraient les jalons de la réponse aux coûts. Quelles dépenses ont été engagées pour le confinement d'urgence? Lesquelles étaient de la remédiation et du renforcement de la sécurité? Quelles pertes de revenus provenaient de la perturbation directe des services, de la suspension d'accès des clients ou de conditions de marché plus larges? Les dépôts de Cognizant ont donné des catégories publiques significatives, mais les lecteurs extérieurs ne peuvent toujours pas attribuer chaque dollar ou chaque effet client.
L'absence de détails publics complets n'est pas inhabituelle. Mais cela doit façonner la conclusion. Le dossier soutient une conclusion de responsabilité à haute confiance concernant les devoirs de preuve côté fournisseur et le risque de continuité pour les clients. Il ne soutient pas les affirmations selon lesquelles chaque client a été affecté de la même manière ou que chaque question de forensique privée a une réponse publique.
Questions de gouvernance pour les clients et les fournisseurs
Les clients devraient poser des questions spécifiques au fournisseur avant le prochain événement de ransomware. Quel accès le fournisseur a-t-il? Les comptes du fournisseur sont-ils uniques, à moindre privilège et surveillés? Le client peut-il suspendre l'accès sans perdre tous les services? Existe-t-il des modes d'accès restreint d'urgence? Le contrat définit-il les déclencheurs de notification, le partage d'indicateurs, la coopération en forensique, les solutions de contournement de service, l'escalade exécutive et la conservation des preuves?
Le client sait-il quels processus métier dépendent du fournisseur et combien de temps ils peuvent tolérer une interruption?
Les fournisseurs devraient poser les questions miroir. Peuvent-ils cartographier chaque chemin d'accès client rapidement? Peuvent-ils désactiver les comptes affectés sans désactiver toute la prestation? Peuvent-ils communiquer avec les clients si les systèmes de collaboration sont hors service? Peuvent-ils produire des preuves spécifiques au client à partir des journaux? Peuvent-ils prouver le confinement des terminaux et le renouvellement des accréditations? Peuvent-ils restaurer les services dans un ordre sûr? Peuvent-ils expliquer le risque résiduel sans promettre excessivement?
Peuvent-ils distinguer l'exposition des données de la perturbation de service et de la suspension d'accès de précaution?
Les conseils d'administration ne devraient pas traiter cela comme un problème réservé à l'équipe de sécurité. Le conseil du fournisseur doit comprendre comment un ransomware peut affecter les revenus, les marges, la confiance des clients, l'assurance, les litiges et le positionnement stratégique. Le conseil du client doit comprendre comment la compromission d'un fournisseur peut interrompre des opérations critiques même lorsque les propres systèmes du client ne sont pas directement chiffrés. Les deux conseils ont besoin de métriques de continuité qui incluent l'accès au fournisseur et l'échange de preuves.
L'automatisation de la sécurité devrait faire partie de la gouvernance, mais seulement si elle est auditée. Un tableau de bord indiquant que les terminaux sont propres est moins utile qu'une piste de preuves montrant quels terminaux ont été isolés, reconstruits, analysés et restaurés. Un outil de gestion à distance est moins utile si les clients ne peuvent pas voir ou contrôler les sessions du fournisseur. Un système de sauvegarde est moins utile si l'attaquant peut l'atteindre ou si l'ordre de restauration n'est pas clair. L'automatisation gagne la confiance par des sorties vérifiables.
Enfin, la gouvernance devrait reconnaître la complexité régionale et transfrontalière. La région d'aperçu de cet article suit l'entité du répertoire, mais les activités et les clients de Cognizant étaient mondiaux. Les services informatiques externalisés traversent souvent les juridictions, les régimes de protection des données et les secteurs clients. Cela rend les contrats clairs, les devoirs de notification et les preuves spécifiques au client d'autant plus nécessaires.
La conclusion de responsabilité
L'incident Maze de Cognizant a fait de la reprise après ransomware un test de responsabilité des services informatiques parce que l'attaque n'est pas restée un problème limité au fournisseur. Le dossier public montre une perturbation de service pour certains clients, des communications avec les clients, des indicateurs et des informations de défense, un accès non autorisé à certaines données, une suspension d'accès client dans certains cas, un travail de restauration, des coûts de remédiation et une communication financière publique. Ces faits suffisent à montrer un événement de continuité fournisseur-client.
La carte de la responsabilité suit le contrôle concret. Cognizant contrôlait les systèmes du fournisseur, le confinement, la remédiation, les preuves de forensique, la communication client et la communication publique. Les clients contrôlaient leurs propres décisions d'accès, la surveillance, les plans de continuité et la réponse aux indicateurs. Les investisseurs et les assureurs évaluaient les coûts et les risques résiduels à travers les dépôts et les communications. Aucune partie n'avait tous les faits de l'environnement des autres.
La leçon la plus utile n'est pas que les clients devraient éviter les fournisseurs ou que les fournisseurs peuvent éliminer le risque de ransomware. C'est que l'accès au fournisseur doit être conçu pour une confiance dégradée. Un client devrait pouvoir restreindre, surveiller et rétablir l'accès du fournisseur sans perdre de vue les opérations critiques. Un fournisseur devrait pouvoir produire des preuves qui permettent aux clients de prendre ces décisions sans panique. Les deux parties devraient avoir pratiqué l'échange avant l'incident.
Les documents publics de Cognizant fournissent une information significative sur l'existence de l'incident, l'impact sur les services, la posture de confinement, les coûts et les risques continus. Les reportages ajoutent un contexte sur les communications clients, l'impact financier attendu et les préoccupations d'exposition des données. Le dossier laisse néanmoins des détails privés dans le domaine privé. Cela n'est acceptable que si les clients ont reçu des preuves spécifiques à leur cas là où ils en avaient besoin.
La responsabilité publique ne peut pas vérifier chaque notification privée, mais elle peut fixer la norme: un événement de ransomware chez un fournisseur n'est pas terminé tant que les clients ne peuvent pas prouver ce qui a changé, ce qui n'a pas changé et quels contrôles soutiennent désormais la confiance restaurée.
Typographie
La typographie est l'art et la technique de l'arrangement des caractères pour rendre le langage écrit lisible, fluide et visuellement attrayant. Elle implique le choix des polices, des tailles de points, des longueurs de ligne, de l'espacement des lignes et de l'espacement des lettres.
- La typographie est née avec l'invention des caractères mobiles par Johannes Gutenberg au XVe siècle.
- Les éléments clés comprennent la sélection des polices, le crénage, le suivi et l'interlignage.
- Une bonne typographie améliore la lisibilité et transmet une ambiance ou un ton dans le design.

