Résumé

  • FedEx a acquis TNT Express en mai 2016 et était encore en train d'intégrer l'entreprise lorsque NotPetya a frappé les systèmes d'information mondiaux de TNT en juin 2017. Ce calendrier est important: l'incident n'était pas seulement une intrusion chez une filiale, mais un test de la rapidité avec laquelle un acquéreur assume la responsabilité opérationnelle des systèmes hérités, des engagements clients et de la dette de récupération.
  • La déclaration de FedEx de juillet 2017 indiquait que les opérations et les communications de TNT étaient considérablement affectées, que les systèmes et données de toutes les autres sociétés de FedEx n'étaient alors pas affectés, qu'aucune violation de données ou perte de données tierce n'était connue, et que des processus manuels soutenaient une partie importante des opérations de TNT et des fonctions de service client.
  • Le résultat du premier trimestre de l'exercice 2018 a converti la perturbation opérationnelle en un enregistrement de responsabilité financière. FedEx a signalé un impact estimé de 300 millions de dollars sur les résultats d'exploitation de FedEx Express pour le trimestre, une réduction du volume, des revenus et des bénéfices de TNT, et des perspectives de bénéfices dépendantes d'une reprise continue.
  • La leçon publique n'est pas que FedEx aurait pu rendre NotPetya impossible. La question plus forte est de savoir si l'intégration de l'acquisition, la séparation des réseaux, la récupérabilité des données métier, la communication sur l'état des clients et les manuels de continuité ont été gouvernés comme des contrôles essentiels à la transaction avant que TNT ne fasse partie du portefeuille de services mondiaux promis par FedEx.
  • La répartition des pertes a été inhabituellement visible. FedEx a déclaré en juillet 2017 qu'elle n'avait pas d'assurance cyber ou autre couvrant l'attaque. Des rapports publics ultérieurs et des dossiers judiciaires montrent que l'épisode est également devenu un litige sur la divulgation aux actionnaires, mais ces allégations et décisions juridiques sont distinctes de toute détermination médico-légale complète des défaillances de contrôle technique de TNT.
  • Pour les clients, en particulier les petits expéditeurs et courtiers, une panne du système interne d'un transporteur de colis et de fret peut devenir un événement de continuité tourné vers le public. La réservation, l'enlèvement, le suivi, les documents douaniers, la facturation et les réclamations ne sont pas des suppléments administratifs; ils sont les rails d'information qui permettent aux marchandises de continuer à circuler légalement et de manière crédible.

Le réseau acquis était le domaine de défaillance

FedEx a finalisé l'acquisition de TNT Express le 25 mai 2016, après une offre publique qui positionnait TNT comme un moyen de renforcer le réseau routier européen de FedEx et sa portée express internationale. L'annonce de clôture indiquait que les actions de TNT avaient été apportées et que la transaction créerait une plateforme de transport mondiale plus large. Le fait pertinent en matière de responsabilité est simple: en juin 2017, TNT n'était plus une contrepartie externe dont la résilience pouvait être considérée comme le problème de quelqu'un d'autre.

C'était une société opérationnelle au sein du groupe FedEx, servant des clients dans le cadre d'une promesse d'entreprise plus large.

Ladéclaration de FedEx dans le formulaire 10-K de 2017a encadré l'événement avec une précision inhabituelle. FedEx a déclaré que les systèmes d'information mondiaux de TNT Express avaient été affectés par la cyberattaque connue sous le nom de Petya, impliquant un virus informatique qui s'était propagé via un logiciel de fiscalité ukrainien. Elle a indiqué que TNT opérait en Ukraine et utilisait le logiciel compromis, permettant au virus de s'infiltrer dans les systèmes de TNT et de chiffrer les données. Elle a également tracé une limite: les systèmes et données de toutes les autres sociétés de FedEx n'étaient alors pas affectés, et FedEx n'avait connaissance d'aucune violation de données ou perte de données tierce à la date de la déclaration.

Cette limite est importante, mais elle ne doit pas être confondue avec un verdict complet de résilience. Les archives publiques confirment que FedEx a contenu l'effet direct connu sur les systèmes de TNT et n'a signalé aucune violation de données tierce connue. Elles ne montrent pas que l'activité acquise de TNT avait déjà été intégrée dans un environnement de contrôle FedEx récupérable et assuré de manière indépendante.

En juillet 2017, FedEx décrivait encore des systèmes critiques en cours de restauration, des systèmes opérationnels et de back-office toujours en suspens, et la possibilité que TNT ne puisse pas restaurer tous les systèmes affectés ou récupérer toutes les données métier critiques chiffrées par le virus.

Les acquisitions créent souvent un état intermédiaire dangereux. L'acheteur a le contrôle stratégique et la responsabilité publique, mais les réseaux, les logiciels locaux, les domaines administratifs, les bureaux de service, les systèmes financiers, les contrats hérités et les outils spécifiques à chaque pays de la société acquise peuvent encore fonctionner dans leur forme antérieure. L'accord est conclu avant que chaque système ne soit repensé. Les clients voient une promesse de marque en expansion avant que les ingénieurs et les propriétaires d'entreprise n'aient harmonisé les conditions nécessaires pour tenir cette promesse sous pression.

Ce n'est pas automatiquement de la négligence. Une intégration logistique mondiale est complexe, et remplacer chaque système acquis dès le premier jour peut être techniquement dangereux, commercialement perturbateur et juridiquement irréalisable. Mais la période de transition n'est pas un espace vide. Elle nécessite une acceptation des risques nommés. Quels systèmes restent en dehors de l'architecture préférée de l'acheteur? Quels outils spécifiques à chaque pays ont encore une portée privilégiée? Quels processus métier ne peuvent pas être récupérés à partir de l'environnement de sauvegarde standard de l'acheteur?

Quels enregistrements financiers, de facturation et de suivi seraient perdus ou retardés si l'environnement acquis était détruit? Quels services peuvent être reroutés via le réseau de l'acheteur sans perdre l'intégrité des douanes, des marchandises dangereuses, des preuves de livraison ou de la facturation?

L'incident FedEx-TNT est donc différent du cas Maersk NotPetya. Maersk est souvent retenu comme une compagnie maritime mondiale perdant sa mémoire opérationnelle à travers les couches de navires, de terminaux et d'identité. FedEx-TNT est plus nettement un cas d'intégration-acquisition.

Le malware est entré dans une entreprise de messagerie express acquise qui avait encore une technologie et une identité opérationnelle suffisamment distinctes pour que FedEx dise que les autres sociétés FedEx n'étaient pas affectées, mais suffisamment de liens d'entreprise et de clientèle pour que les dommages réduisent les résultats du segment FedEx Express et les prévisions des investisseurs. Le problème de responsabilité se situe dans cet état intermédiaire.

L'approbation de la transaction FedEx-TNT par la Commission européenne en 2016s'est concentrée sur la concurrence, pas sur la cyber-résilience. C'est normal pour un examen de fusion. Cela met également en évidence une lacune de gouvernance plus large. L'approbation de la concurrence peut demander si une transaction réduit la rivalité sur le marché; elle n'exige généralement pas que l'acquéreur prouve que les systèmes d'identité, la conception des sauvegardes et les logiciels de conformité locaux du réseau acquis ne peuvent pas devenir une défaillance de mode commun. Pourtant, pour les clients, ces détails techniques déterminent si le réseau logistique élargi est plus résilient ou simplement plus grand.

NotPetya a rendu la connaissance des envois non fiable

NotPetya n'était pas un ransomware criminel ordinaire, même s'il affichait une demande de rançon. Lecompte rendu technique contemporain de Microsoft sur l'épidémie de Petyaa décrit un chemin de chaîne d'approvisionnement lié au programme de mise à jour M.E.Doc et un mouvement latéral utilisant plusieurs méthodes, y compris le vol d'identifiants et l'exploitation SMB. Ladéclaration d'attribution du Royaume-Uni de 2018a déclaré que l'armée russe était responsable et que l'attaque s'était déguisée en activité criminelle alors que son objectif principal était la perturbation. Le ministère de la Justice des États-Unis a ensuiteinculpé six officiers du GRU russedans une campagne qui comprenait NotPetya; ces accusations sont des allégations jusqu'à preuve du contraire, mais le dossier d'accusation public décrit un logiciel malveillant destructeur plutôt qu'une négociation de rançon normale.

Pour TNT, le problème opérationnel immédiat n'était pas la classification abstraite du malware. C'était la disparition ou la dégradation de la connaissance fiable des envois. FedEx a déclaré que les opérations et les communications de TNT étaient considérablement affectées. Elle a déclaré que les clients subissaient des retards généralisés de service et de facturation et que des processus manuels étaient utilisés pour une partie importante des opérations et du service client. C'est une défaillance commerciale très spécifique.

Les colis et le fret existent physiquement lorsque les systèmes tombent en panne, mais la capacité du transporteur à les accepter, les acheminer, les suivre, les dédouaner, les facturer et en rendre compte dépend d'informations qui doivent être précises, actuelles et vérifiables.

L'état numérique d'un transporteur express est dense. Un enregistrement d'expédition peut contenir les données de l'expéditeur et du destinataire, le niveau de service, l'heure d'enlèvement, la classification douanière, les références de facture commerciale, les contrôles à l'exportation, l'assurance, le statut des marchandises dangereuses, l'engagement de livraison, la facturation du compte, la preuve d'enlèvement, les scans de hub, l'affectation de véhicule, les codes d'exception et l'historique des réclamations.

Lorsque cet enregistrement n'est pas disponible, un client peut ne pas être en mesure de réserver un remplacement, de prouver où se trouve un envoi, de décider d'envoyer une autre unité ou de rapprocher les factures. Un courtier en douane peut ne pas savoir si les documents ont été transmis. Un petit fabricant peut ne pas savoir si une pièce arrivera avant un créneau de production. Un acheteur public peut ne pas savoir si des matériels sensibles au temps devraient être achetés ailleurs.

La déclaration de FedEx de juillet 2017 montre que la continuité n'était pas binaire. Elle n'a pas dit que TNT était fermée. Elle a déclaré que tous les dépôts, hubs et installations étaient opérationnels et que la plupart des services TNT étaient disponibles, tandis que les clients subissaient encore des retards généralisés et que les processus manuels assuraient une partie importante du travail. C'est précisément dans cet état dégradé que la responsabilité devient difficile. La direction peut dire en toute honnêteté que le fret continue de circuler.

Les clients peuvent dire en toute honnêteté que le service qu'ils ont acheté ne fonctionne pas comme promis. Les deux déclarations peuvent être exactes parce que la continuité logistique a des couches: réseau physique, système opérationnel, interface client, enregistrement financier et gestion des exceptions.

C'est pourquoi les métriques cyber génériques sous-estiment l'événement. Un nombre de serveurs, un nombre de terminaux ou un nom de famille de malware ne dit pas à un expéditeur si une déclaration en douane a été préservée, si un engagement de livraison est fiable, si une fenêtre de réclamation reste ouverte, ou si une facturation retardée produira plus tard des frais contestés. L'unité responsable n'est pas seulement « système restauré »; c'est « fonction commerciale restaurée avec suffisamment de preuves pour que les clients et les partenaires puissent s'y fier ».

Lecommuniqué sur les résultats du premier trimestre de l'exercice 2018 de FedExconfirme ce problème de récupération en couches. La société a déclaré que la plupart des services de TNT Express avaient repris au cours du trimestre et que pratiquement tous les systèmes opérationnels critiques avaient été restaurés, mais que le volume, les revenus et les bénéfices de TNT restaient inférieurs aux niveaux précédents. En d'autres termes, le transporteur pouvait restaurer les systèmes critiques sans restaurer la confiance commerciale antérieure, le flux de volume ou le comportement des clients au cours du même trimestre.

Le travail manuel a maintenu le service en vie, mais a également transféré le risque

Les solutions de contournement manuelles sont indispensables dans une crise logistique. Elles sont également risquées. La déclaration de FedEx selon laquelle les processus manuels soutenaient une partie importante des opérations de TNT et des fonctions de service client est un signe de résilience pratique, pas un échec en soi. Les gens ont trouvé des moyens de maintenir les marchandises en mouvement lorsque les systèmes étaient indisponibles. Le problème est que la continuité manuelle crée son propre fardeau de preuves.

Prenons l'exemple d'un petit exportateur utilisant TNT pour des envois express internationaux. Si la réservation, les étiquettes, le suivi et la facturation sont altérés, l'exportateur peut s'appuyer sur les e-mails, les appels téléphoniques, les références manuscrites, les instructions du dépôt local et la réconciliation ultérieure. Cela peut préserver les revenus et les relations clients pendant une courte période. Cela peut également créer des numéros de compte incompatibles, des champs douaniers manquants, des entrées en double, des lacunes dans les preuves de livraison, des notes de crédit retardées et des surtaxes contestées.

Plus l'entreprise est petite, moins elle dispose de marge pour l'incertitude. Un grand expéditeur peut avoir un logiciel de gestion du transport, des équipes de compte et des transporteurs alternatifs. Un petit fournisseur peut avoir une seule fenêtre d'expédition et un seul client qui attend.

La continuité du secteur public peut être affectée de la même manière. Les services FedEx et TNT ne sont pas des services publics gouvernementaux, mais les transporteurs logistiques soutiennent les systèmes de santé, les laboratoires, les marchés publics, les réparations d'urgence, l'éducation, les documents judiciaires et le commerce transfrontalier réglementé. Une panne de transporteur ne devient pas automatiquement une urgence nationale. Elle devient un problème de continuité publique lorsque les envois affectés sont sensibles au facteur temps, réglementés, rares ou font partie d'une fonction institutionnelle plus large.

L'organisme public qui dépend d'un transporteur privé peut avoir peu de visibilité sur l'état de restauration du transporteur au-delà des avis aux clients et des appels des gestionnaires de compte.

FedEx a déclaré que des plans d'urgence utilisant à la fois les réseaux FedEx Express et TNT restaient en place pour minimiser les impacts sur les clients. C'est un contrôle d'entreprise précieux car il utilise le réseau plus large de l'acheteur pour amortir l'unité acquise. Mais l'utilisation d'urgence de deux réseaux soulève des questions difficiles: Quels envois peuvent être commutés en toute sécurité? Comment les données douanières et de facturation sont-elles transférées? Qui informe les clients que les conditions de service ont changé? Comment les exceptions sont-elles rapprochées ultérieurement?

Comment les envois prioritaires sont-ils sélectionnés sans privilégier le client le plus bruyant par rapport à l'envoi aux conséquences les plus élevées?

Les preuves publiques ne répondent pas à ces questions au niveau des envois. Ce n'est pas inhabituel; les transporteurs ne publient pas de manuels de continuité détaillés. Mais une analyse de responsabilité peut tout de même nommer les preuves qu'un conseil d'administration et des clients voudraient raisonnablement.

Il devrait y avoir des registres montrant quels services ont été suspendus, dégradés ou redirigés par zone géographique; quelles approbations manuelles ont été autorisées; comment les contrôles des marchandises dangereuses et des douanes ont été préservés; comment les exceptions de facturation ont été suivies; quelles données ont été rapprochées ultérieurement; et comment les clients pouvaient confirmer si un envoi individuel se déplaçait selon des processus normaux, manuels ou substitués.

Le bilan financier a rendu la portée de l'impact vérifiable

Le communiqué du premier trimestre de l'exercice 2018 de FedEx a mis un chiffre sur l'effet initial sur l'entreprise. Il a déclaré que la cyberattaque du 27 juin avait réduit les bénéfices de 0,79 $ par action diluée et que les résultats d'exploitation de FedEx Express avaient diminué en raison d'un impact estimé à 300 millions de dollars de la cyberattaque. Il a également déclaré que la croissance des revenus avait été partiellement compensée par l'attaque et que la réduction des revenus et l'augmentation des dépenses résultant de l'attaque avaient plus que compensé les autres avantages au niveau consolidé.

Ce n'est pas un chiffre de perte sociale totale. C'est une estimation de la direction de l'effet sur les bénéfices de l'entreprise pour un trimestre.

La déclaration de juillet avait déjà averti que l'impact était probablement matériel, que FedEx avait subi une perte de revenus en raison de la diminution des volumes de TNT et des coûts supplémentaires pour les plans d'urgence et la remédiation, et que FedEx n'avait pas d'assurance cyber ou autre en place couvrant l'attaque. L'absence d'assurance n'est pas une preuve que FedEx a été imprudente; la couverture d'assurance cyber était encore en train de mûrir, et les logiciels malveillants destructeurs de type guerrier ont ensuite créé des litiges de couverture difficiles sur le marché. Mais c'est un fait important sur la répartition.

Dans ce cas, une plus grande partie du coût reconnu est restée à la charge de FedEx et de ses investisseurs plutôt que d'un assureur.

La responsabilité financière avait plusieurs canaux. D'abord, la perte immédiate de revenus et les coûts. Ensuite, le comportement des clients: le volume, les revenus et les bénéfices de TNT sont restés inférieurs aux niveaux précédents même après la reprise de la plupart des services. Ensuite, les coûts d'intégration et l'attention de la direction. FedEx essayait d'intégrer TNT dans FedEx Express tout en reconstruisant les systèmes endommagés et en préservant les relations clients. Un incident cyber sur une plateforme acquise peut donc consommer les ressources mêmes nécessaires pour achever l'intégration qui réduirait l'exposition future.

Lerapport annuel 2018 de FedExa décrit les résultats de TNT Express au sein de FedEx Express et a continué de discuter de l'effet NotPetya dans les rapports de gestion. Le langage exact et la présentation comptable ont changé à mesure que l'événement passait de la perturbation immédiate à la comparaison d'une année sur l'autre, mais le point de gouvernance est resté cohérent: la cyberattaque n'a pas été un élément exceptionnel d'un jour. Elle a affecté le volume, les coûts, la restauration des systèmes et la planification de l'intégration sur plusieurs périodes de reporting.

La répartition des pertes a également affecté les clients. Les déclarations publiques de FedEx ne quantifient pas les pertes absorbées par les expéditeurs, les courtiers, les dépôts locaux ou les sous-traitants. Il serait négligent d'inventer un total en aval. L'absence de total, cependant, ne doit pas être interprétée comme une absence de préjudice.

Un client qui a redirigé le fret, perdu un engagement de livraison, ajouté des stocks, payé du personnel pour suivre les colis, retardé la facturation à ses propres clients ou contesté des frais a subi un coût réel même si ce coût n'apparaît jamais dans le calcul du bénéfice d'exploitation de FedEx.

C'est un problème récurrent dans les grandes pannes de service. La société cotée en bourse signale un impact financier matériel lorsque les règles de divulgation aux actionnaires l'exigent. Les clients subissent un impact opérationnel à des échelles plus petites. Un impact trimestriel de 300 millions de dollars est suffisamment important pour être visible dans les résultats de FedEx. Une perte de 3 000 dollars pour une petite entreprise peut être invisible dans le dossier public et être néanmoins importante pour cette entreprise. Le dossier de responsabilité doit contenir ces deux vérités sans les forcer dans un seul chiffre audité.

La responsabilité de divulgation est distincte de la certitude de la cause profonde

L'épisode FedEx-TNT est apparu plus tard dans un litige boursier. Un dossier judiciaire fédéral dansIn re FedEx Corp. Securities Litigationa traité des allégations des investisseurs concernant l'intégration de TNT et les divulgations liées à NotPetya. Le dossier juridique est important car il montre que l'incident est devenu non seulement un événement opérationnel et financier, mais aussi un litige sur ce que la direction a dit sur les progrès de l'intégration, les risques et les effets. Il doit être utilisé avec prudence. Une plainte en valeurs mobilières est une allégation, pas un fait. Une décision de rejet est une décision juridique sur la suffisance de la plaidoirie, pas un audit technique complet des réseaux de TNT.

Cette distinction est essentielle pour une bonne prose publique. Il est juste de dire que les investisseurs ont contesté certains aspects des divulgations de FedEx et que les tribunaux ont évalué ces allégations selon les normes du droit des valeurs mobilières. Il n'est pas juste de traiter le litige comme une reconstruction complète de l'état des correctifs, de la segmentation, de la conception des sauvegardes ou des connaissances des dirigeants.

Les preuves publiques disponibles pour les lecteurs ordinaires restent une combinaison de divulgations de FedEx, de communiqués de résultats, d'analyses techniques de NotPetya, de journalisme réputé et de documents judiciaires.

La déclaration de FedEx de juillet 2017 a été inhabituellement franche sur l'incertitude. La société a déclaré qu'elle ne pouvait pas encore estimer combien de temps la restauration prendrait et qu'il était raisonnablement possible que TNT ne puisse pas restaurer entièrement tous les systèmes affectés ou récupérer toutes les données métier critiques chiffrées par le virus. Elle a également averti que l'attaque pourrait affecter matériellement les contrôles de divulgation et le contrôle interne de l'information financière au cours des périodes futures. C'est une forte admission publique de risque financier et de tenue de registres.

Elle va au-delà du langage ordinaire du service client.

La raison est évidente une fois que l'entreprise est comprise. Si les systèmes opérationnels, les systèmes financiers, les systèmes de back-office et les systèmes métier secondaires font tous partie de l'ensemble de récupération affecté, alors la capacité de l'entreprise à mesurer les revenus, à facturer les clients, à recouvrer les créances, à traiter les réclamations et à clôturer les comptes peut être affectée. Un incident cyber logistique peut donc passer de la continuité de service au contrôle de l'information financière. Cela ne signifie pas que les déclarations de l'entreprise étaient nécessairement peu fiables.

Cela signifie que la direction a reconnu un risque que les effets de l'incident puissent atteindre la machinerie même des rapports.

La responsabilité de divulgation a un calendrier différent de la récupération opérationnelle. Les clients ont besoin d'un état de service en temps quasi réel. Les investisseurs ont besoin de risques matériels et d'impact financier. Les régulateurs peuvent avoir besoin de rapports d'incident, d'avis de confidentialité ou de preuves de contrôle financier selon la juridiction et les faits. Les employés ont besoin d'instructions sûres et d'attentes réalistes. Un seul communiqué de presse ne peut pas satisfaire tous les publics.

Le dossier FedEx montre une divulgation séquentielle: déclarations opérationnelles initiales, langage de risque du 10-K, impact trimestriel sur les bénéfices et comparaisons ultérieures dans les rapports annuels. La question pour la gouvernance est de savoir si ces messages étaient liés à la même base de preuves interne plutôt qu'assemblés comme des pistes distinctes pour les relations publiques, les investisseurs et les clients.

Une bonne gouvernance des incidents devrait donc préserver les preuves de décision: quand l'entreprise a appris l'attaque, ce qu'elle savait des systèmes affectés de TNT, quand elle a conclu que les autres systèmes FedEx n'étaient pas affectés, comment elle a évalué le risque de violation de données, comment elle a mesuré la perte de revenus et les coûts supplémentaires, et comment elle a décidé quoi dire aux clients sur la disponibilité du service. Le dossier public n'a pas besoin d'exposer chaque détail de sécurité pour fournir une responsabilité.

Il a besoin de suffisamment de cohérence pour que les clients, les investisseurs et les régulateurs comprennent ce qui était connu, ce qui restait incertain et ce qui avait changé.

L'intégration après un incident n'est pas une intégration ordinaire

FedEx avait un programme d'intégration stratégique préexistant pour TNT. NotPetya a changé la nature de ce travail. L'intégration après un événement de malware destructeur n'est pas la même chose qu'une migration de systèmes planifiée. La migration planifiée peut séquencer les fonctions pays, produit, client et finance pour une optimisation commerciale. L'intégration post-incident doit d'abord reconstruire la confiance: identité, bases de référence des terminaux, chemins réseau propres, données métier récupérables, contrôles financiers, interfaces client et conservation des preuves.

Lerapport annuel 2021 de FedExa décrit plus tard l'achèvement de l'intégration du réseau physique de TNT Express dans FedEx Express en Europe et a noté les travaux de rebranding. À ce stade, l'incident était passé dans l'histoire de l'entreprise. Mais la longue trajectoire est importante. Une acquisition qui crée des revenus immédiats et une portée de marché peut laisser une charge d'intégration technologique et opérationnelle de plusieurs années. Un incident cyber destructeur peut anticiper le coût de ne pas encore avoir achevé cette charge.

Les preuves d'intégration devraient être plus qu'un tableau de jalons.

Un conseil d'administration aurait besoin de savoir si les domaines acquis étaient isolés ou retirés, si les logiciels de conformité locaux étaient placés dans des zones restreintes, si la sauvegarde et la restauration étaient testées dans des scénarios destructeurs, si les données clients et les enregistrements financiers étaient migrés avec des contrôles de rapprochement, si les portails en double étaient retirés, si l'autorité de réponse aux incidents était claire entre les pays, et si l'entreprise acquise pouvait être basculée sur le réseau de l'acheteur sans corrompre les engagements de service.

Lerapport initial de découverte de malware de la CISA et du FBI sur NotPetyan'est pas un rapport médico-légal de FedEx, mais il renforce pourquoi l'intégration a besoin d'une optique de malware destructeur. NotPetya a utilisé des techniques de propagation et de vol d'identifiants qui rendaient la pensée périmétrique ordinaire inadéquate. Si un environnement acquis a une connectivité de confiance avec l'acheteur, l'acheteur doit se demander ce que le malware peut faire avec cette confiance. Si l'environnement acquis est séparé, l'acheteur doit se demander comment le service acquis continue lorsque cet environnement est détruit. Les deux questions sont importantes.

L'entréeNotPetya dans MITRE ATT&CKaide également à éviter une narration à cause unique. Le dossier technique public décrit plusieurs techniques, y compris des comportements liés aux identifiants et le chiffrement destructeur. Pour la gouvernance, le point n'est pas de sélectionner un contrôle magique qui aurait tout résolu. Le point est de superposer les contrôles afin que la compromission d'un produit logiciel local requis ne devienne pas une destruction de données à l'échelle de l'entreprise et une perte de fonction métier.

La question de l'intégration post-incident inclut également les personnes. Les employés de TNT ont supporté le stress opérationnel du travail manuel, de la frustration des clients et de la restauration des systèmes. Les employés de FedEx ont supporté le fardeau de soutenir la continuité via le réseau plus large tout en protégeant les autres systèmes FedEx. Les équipes d'intégration ont subi la pression d'accélérer ou de modifier les plans tout en rétablissant la confiance. La responsabilité n'est pas servie en traitant ces employés comme la cause du problème.

Elle est servie en veillant à ce que leurs connaissances d'urgence fassent partie d'une conception opérationnelle contrôlée plutôt que de disparaître après la crise.

Les clients ont besoin de preuves de récupération qu'ils peuvent utiliser

Les clients ont rarement besoin d'un rapport médico-légal complet d'un transporteur. Ils ont besoin de preuves de récupération utilisables. Dans le cas FedEx-TNT, le problème auquel les clients étaient confrontés comprenait des retards de service, des retards de facturation et des fonctions de service client manuelles. Une petite entreprise n'a pas besoin de connaître chaque décision de contrôleur de domaine pour agir.

Elle a besoin de savoir si un enlèvement aura lieu, si un envoi peut être suivi, si les données douanières sont présentes, si la preuve de livraison sera disponible, si les factures en retard seront exactes et si les niveaux de service alternatifs sont réalistes.

La couverture médiatique réputée de l'époque a capturé le côté frustration de cette équation. The Guardian a rapporté en juillet 2017 queles clients de TNT se plaignaient de colis bloqués après la cyberattaque, tandis que la propre déclaration publique de FedEx reconnaissait des retards généralisés de service et de facturation. Les rapports des clients ne doivent pas être traités comme un ensemble de données complet, mais ils montrent la conséquence vécue de la dégradation des informations logistiques. Un colis retardé n'est pas seulement en retard; il peut devenir suffisamment intraçable pour que le client ne puisse pas décider quoi faire ensuite.

Les preuves que les clients peuvent utiliser sont souvent modestes. Un transporteur peut publier les voies de service affectées, les fenêtres de restauration approximatives, les directives de traitement des réclamations, les règles de rapprochement des factures, les canaux de contact qui ne dépendent pas du système défaillant et les conseils pour les envois prioritaires ou réglementés. Il peut dire aux clients quels événements de suivi sont fiables et lesquels peuvent avoir du retard. Il peut séparer « installation ouverte » de « service normal rétabli ».

Il peut conserver les numéros de référence manuels et les mapper ultérieurement aux enregistrements d'expédition ordinaires. Il peut communiquer lorsque les systèmes financiers rattrapent leur retard afin que les clients ne soient pas surpris par des frais différés.

Les petites et moyennes entreprises ont besoin d'une attention particulière car elles peuvent ne pas avoir d'équipes logistiques professionnelles. Leguide de résilience de la chaîne d'approvisionnement pour les petites entreprises de la CISAest un guide général, pas une conclusion spécifique à FedEx, mais il souligne que les petites organisations ont besoin d'une planification de continuité réaliste. Une panne de transporteur peut tester si le client a des comptes d'expédition alternatifs, des copies de documents locaux, des modèles de notification aux clients, des tampons de stock et des critères pour payer un fret premium. Le transporteur possède toujours ses systèmes; le client possède son plan de dépendance.

La continuité du secteur public a un problème de preuves similaire. Une agence publique qui dépend de la logistique express devrait savoir quels envois ont des conséquences élevées, quels transporteurs ou itinéraires alternatifs existent, comment gérer les matières sensibles ou réglementées et comment authentifier les instructions du transporteur lors d'un incident cyber. L'agence ne peut pas reconcevoir l'architecture du réseau acquis de FedEx. Elle peut exiger une transparence au niveau de service, des contacts en cas d'incident et des exercices de continuité pour les voies critiques.

Le transporteur peut soutenir cela en rendant les informations sur l'état dégradé suffisamment précises pour que les organismes publics puissent choisir des actions alternatives.

La meilleure preuve de récupération pour les clients n'est pas une promesse que « le service est de retour ». C'est un ensemble d'états de service vérifiables. Normal, dégradé, manuel, redirigé, suspendu et en cours de rapprochement devraient signifier des choses différentes. Ils devraient être visibles par produit, région et fonction. Un client devrait pouvoir distinguer un envoi qui se déplace physiquement mais est retardé numériquement d'un envoi qui n'a aucun enregistrement de garde fiable. Cette distinction est la différence entre un inconvénient tolérable et une incertitude opérationnelle inacceptable.

Le dossier public a également besoin de vérifications croisées car les incidents logistiques deviennent rapidement des légendes. Les documents déposés auprès de la SEC et les communiqués de presse pour les investisseurs de FedEx ancrent les effets financiers et opérationnels déclarés par l'entreprise, tandis que les reportages indépendants aident à montrer comment les clients ont vécu la perturbation. Leformulaire 10-K 2018 de FedEx déposé auprès de la SECest utile car il place la cyberattaque de TNT dans le cadre du rapport annuel audité plutôt que dans un cycle de presse ponctuel. Lerapport annuel 2017 de FedEx hébergé par AnnualReportsdonne le contexte d'acquisition et d'intégration pré-NotPetya qui existait avant que l'incident ne domine le récit. La couverture de Reuters surl'impact de l'attaque sur les résultats de FedExfournit un compte rendu externe orienté marché de la façon dont l'entreprise a expliqué l'effet de l'attaque aux investisseurs.

Ces trois types de sources répondent à des questions différentes. Le dossier du rapport annuel demande ce que FedEx a dit aux investisseurs en vertu des règles de divulgation des valeurs mobilières. Le rapport annuel pré-incident demande quelle promesse d'intégration et quelle structure d'entreprise existaient avant que l'événement de malware ne les teste. La couverture du marché demande comment la divulgation a été reçue par les observateurs extérieurs et quels chiffres ont été soulignés en temps réel. Un article de responsabilité responsable devrait garder les trois en vue.

Sinon, l'histoire peut pencher trop loin soit vers un conte technique de malware, soit vers un conte de finance d'entreprise, alors que la vérité opérationnelle se situait entre les deux: les systèmes hérités, le service client, le fret physique, les contrôles financiers et les rapports des sociétés cotées en bourse sont tous devenus liés.

À quoi ressembleraient de bonnes preuves

Le dossier public ne divulgue pas d'autopsie technique complète pour TNT. Cela limite toute conclusion externe. Néanmoins, un dossier de responsabilité mature après ce type d'événement contiendrait plusieurs catégories de preuves.

Premièrement, des preuves de risque d'acquisition. Avant la clôture et pendant l'intégration, l'acquéreur devrait maintenir un registre des systèmes critiques hérités, des logiciels spécifiques à chaque pays, de la connectivité privilégiée, de l'état des sauvegardes, des technologies non prises en charge, des contrôles financiers, des interfaces client et des exceptions de segmentation en suspens. Le registre ne devrait pas être un artefact de data room oublié après la transaction. Il devrait orienter la priorité d'intégration et l'acceptation des risques par la direction.

Si une application fiscale ou douanière locale doit rester en usage, sa limite de confiance devrait être explicite.

Deuxièmement, des preuves de domaine de défaillance. Après l'événement, la direction devrait pouvoir montrer comment NotPetya est entré, comment il s'est déplacé, quels systèmes il a affectés, quels systèmes il n'a pas affectés et quels contrôles ont limité la propagation aux autres sociétés FedEx. FedEx a déclaré publiquement que les systèmes et données des autres sociétés FedEx n'étaient pas affectés à ce moment-là. Les preuves à l'appui de cette conclusion devraient inclure la surveillance, la segmentation, l'examen des identifiants et la validation post-incident, et pas seulement une absence de symptômes évidents.

Troisièmement, des preuves de récupérabilité. FedEx a déclaré en juillet 2017 que TNT pourrait ne pas être en mesure de restaurer tous les systèmes affectés ou de récupérer toutes les données métier critiques. Un dossier de clôture devrait identifier quelles données ont été récupérées, lesquelles ont été reconstruites à partir de registres manuels, lesquelles ont été perdues, lesquelles n'étaient pas nécessaires et quels processus clients ou financiers ont été affectés. « Données métier critiques » est trop important pour rester une expression large après que la crise est passée.

Quatrièmement, des preuves de fonction client. Le transporteur devrait mesurer la restauration par réservation, enlèvement, traitement en hub, documents douaniers, suivi, livraison, preuve, facturation, réclamations et support de compte. Si des processus manuels ont été utilisés, les preuves devraient montrer les taux d'erreur, les arriérés de rapprochement, les enregistrements en double, les factures contestées et les volumes de communication client. C'est ainsi qu'une panne de service devient vérifiable plutôt qu'anecdotique.

Cinquièmement, des preuves de répartition des pertes. FedEx a reconnu un impact trimestriel estimé à 300 millions de dollars et a déclaré qu'il n'y avait pas de couverture d'assurance. Cela explique le coût pour l'entreprise, mais un dossier de responsabilité complet suivrait également les crédits clients, les réclamations, les frais annulés, les charges contestées, les effets sur les sous-traitants et les coûts de support exceptionnels. Il ne publierait pas nécessairement chaque chiffre. Il devrait exister en interne et être disponible pour les auditeurs, les régulateurs ou les tribunaux lorsque c'est matériel.

Enfin, des preuves d'intégration-remédiation. Le programme post-incident devrait montrer quels systèmes TNT ont été reconstruits, isolés, retirés ou migrés; quels contrôles ont été modifiés avant la reconnexion; comment les contrôles financiers et de divulgation ont été validés; et comment les plans de continuité ont changé pour les futures entités acquises. Leguide plus large de la CISA sur la gestion des risques de la chaîne d'approvisionnement des TICtraite la dépendance aux tiers et à la chaîne d'approvisionnement comme un risque géré. Une société acquise est la forme la plus intense d'une telle dépendance car le risque externe devient interne tout en portant encore son ancienne architecture.

La leçon de responsabilité est le contrôle hérité

L'attaquant porte la responsabilité du déploiement d'un logiciel malveillant destructeur. Les dossiers publics d'attribution et d'accusation pénale soutiennent le traitement de NotPetya comme un acte destructeur lié à un État, et non comme une défaillance commerciale de routine. TNT a également été exposé via un logiciel utilisé pour la conformité fiscale ukrainienne, une exigence locale que de nombreuses entreprises mondiales devaient gérer. Ces faits sont importants. Ils empêchent une histoire simpliste dans laquelle FedEx ou TNT est blâmé pour l'existence de NotPetya.

Ils ne mettent pas fin à l'analyse de responsabilité. FedEx contrôlait l'acquisition, le programme d'intégration, la promesse de service public, l'allocation des ressources de récupération, les communications clients, les divulgations financières et le rythme auquel les systèmes hérités étaient soit séparés, renforcés ou retirés. La direction de TNT contrôlait des parties de l'environnement d'exploitation local préexistant et de la conception de la continuité. Les clients ne contrôlaient leur propre planification de dépendance qu'à la marge.

Les organismes publics ne contrôlaient leurs achats et leurs solutions de repli pour les envois critiques que de manière limitée. La responsabilité suit donc le contrôle, et le contrôle était inégalement réparti.

La leçon durable de l'incident n'est pas « ne jamais acquérir une entreprise avec un risque cyber ». Chaque entreprise a un risque cyber. La leçon est que le risque cyber fait partie de ce qui est acquis. Ce n'est pas un side-car de la transaction. L'acheteur hérite non seulement des revenus, des itinéraires, des clients et des employés, mais aussi de la dette de sauvegarde, de l'exposition aux logiciels locaux, de la confiance d'identité, de la fragilité des contrôles financiers, des obligations en matière de données clients, de la maturité des processus manuels et des lacunes dans les preuves de récupération.

La réponse de FedEx a montré des forces significatives. Elle a publiquement identifié la frontière de TNT, utilisé des plans d'urgence impliquant les deux réseaux, restauré la plupart des services au cours du trimestre, quantifié l'impact financier matériel et poursuivi l'effort d'intégration plus long. Ce ne sont pas des réalisations triviales. Le même dossier montre la gravité de la faiblesse sous-jacente: des retards généralisés, un traitement manuel lourd, une récupération incertaine de certaines données affectées, aucune assurance applicable, une réduction du volume et une pression sur les bénéfices.

La norme de responsabilité pratique pour les acquisitions futures devrait être explicite. Avant la clôture, identifiez les systèmes dont la défaillance arrêterait ou dégraderait le service client. Pendant la transition, isolez les outils de conformité locaux et les domaines administratifs hérités afin que leur compromission ne puisse pas décider du sort de l'entreprise élargie. Testez la restauration des fonctions d'expédition, de finance et de service client, et pas seulement de l'infrastructure. Préparez des preuves clients pour le service dégradé.

Intégrez la dette de récupération cyber dans le prix de la transaction et dans les jalons d'intégration de la direction.

FedEx-TNT est donc un cas de vérité opérationnelle héritée. Le réseau de colis n'a pas disparu. La capacité de parler avec confiance des réservations, du suivi, des factures, de l'état et de la récupération, elle, a disparu. Une fois qu'un acheteur est propriétaire de cette promesse, la cyber-résilience devient un élément de la responsabilité de la fusion. Un réseau logistique plus grand n'est pas automatiquement plus résilient; il ne devient résilient que lorsque les informations nécessaires pour déplacer, prouver et facturer les marchandises peuvent survivre à la défaillance des systèmes dont il a hérité.

Typographie

La typographie est l'art et la technique d'arranger les caractères pour rendre le langage écrit lisible, compréhensible et visuellement attrayant. Elle implique la sélection de polices, de tailles de points, de longueurs de ligne, d'interlignage et d'espacement des lettres.

  • La typographie est née avec l'invention des caractères mobiles par Johannes Gutenberg au XVe siècle.
  • Les éléments clés comprennent la sélection de polices, le crénage, l'interlettrage et l'interlignage.
  • Une bonne typographie améliore la lisibilité et transmet une ambiance ou un ton dans le design.