Résumé

  • FedEx a acquis TNT Express en mai 2016 et était encore en train d’intégrer l’entreprise lorsque NotPetya a frappé les systèmes d’information mondiaux de TNT en juin 2017. Ce timing est important: l’incident n’était pas seulement une intrusion dans une filiale, mais un test de la rapidité avec laquelle un acquéreur assume la responsabilité opérationnelle des systèmes hérités, des engagements clients et de la dette de reprise.
  • La divulgation de FedEx en juillet 2017 indiquait que les opérations et les communications de TNT étaient gravement affectées, que tous les systèmes et données des autres sociétés de FedEx n’étaient alors pas touchés, qu’aucune violation de données de tiers ou perte de données n’était connue, et que des processus manuels soutenaient une part significative des opérations de TNT et des fonctions de service client.
  • Les résultats du premier trimestre de l’exercice 2018 ont converti la perturbation opérationnelle en un bilan de responsabilité financière. FedEx a signalé un impact estimé à 300 millions de dollars de la cyberattaque sur les résultats d’exploitation de FedEx Express pour le trimestre, une baisse du volume, du chiffre d’affaires et des bénéfices de TNT, et des perspectives de bénéfices dépendant de la poursuite de la reprise.
  • La leçon soutenue publiquement n’est pas que FedEx aurait pu rendre NotPetya impossible. La question plus forte est de savoir si l’intégration de l’acquisition, la séparation des réseaux, la récupérabilité des données commerciales, la communication sur l’état des clients et les manuels de continuité ont été gouvernés comme des contrôles critiques avant que TNT ne fasse partie du portefeuille de services mondiaux promis par FedEx.
  • L’allocation des pertes a été inhabituellement visible. FedEx a déclaré en juillet 2017 ne pas avoir d’assurance cyber ou autre couvrant l’attaque. Les rapports publics ultérieurs et les archives judiciaires montrent que l’épisode est également devenu un litige de divulgation pour les actionnaires, mais ces allégations et décisions judiciaires sont distinctes de toute détermination médico-légale complète des défaillances de contrôle technique de TNT.
  • Pour les clients, en particulier les petits expéditeurs et les courtiers, une panne du système interne d’un transporteur de colis et de fret peut devenir un événement de continuité à fort impact. La réservation, le ramassage, le suivi, les documents douaniers, la facturation et les réclamations ne sont pas des compléments administratifs; ce sont les rails informationnels qui permettent aux marchandises de continuer à circuler légalement et de manière crédible.

Le réseau acquis était le domaine de défaillance

FedEx a finalisé l’acquisition de TNT Express le 25 mai 2016, après une offre publique qui positionnait TNT comme un moyen de renforcer le réseau routier européen de FedEx et sa portée express internationale. L’annonce de clôture indiquait que les actions de TNT avaient été apportées et que la transaction créerait une plateforme de transport mondiale plus large. Le fait de responsabilité pertinent est simple: en juin 2017, TNT n’était plus une contrepartie externe dont la résilience pouvait être traitée comme le problème de quelqu’un d’autre. C’était une société opérationnelle au sein du groupe FedEx, servant des clients sous une promesse d’entreprise plus large.

Ladivulgation du formulaire 10-K de FedEx pour 2017a encadré l’événement avec une précision inhabituelle. FedEx a déclaré que les systèmes d’information mondiaux de TNT Express avaient été affectés par la cyberattaque connue sous le nom de Petya, impliquant un virus informatique qui s’est propagé via un logiciel fiscal ukrainien. Elle a indiqué que TNT opérait en Ukraine et utilisait le logiciel compromis, permettant au virus d’infiltrer les systèmes de TNT et de chiffrer les données. Elle a également tracé une frontière: les systèmes et les données de toutes les autres sociétés de FedEx n’étaient alors pas affectés, et FedEx n’avait connaissance d’aucune violation de données de tiers ou perte de données à la date de la divulgation.

Cette frontière est importante, mais elle ne doit pas être confondue avec un verdict complet de résilience. Le dossier public confirme que FedEx a contenu l’effet système direct connu à TNT et n’a pas signalé de violation de données de tiers connue. Il ne montre pas que l’activité TNT acquise avait déjà été intégrée dans un environnement de contrôle FedEx récupérable et indépendamment assuré. En juillet 2017, FedEx décrivait encore des systèmes critiques en cours de restauration, des systèmes opérationnels et administratifs encore en suspens, et la possibilité que TNT ne puisse pas restaurer tous les systèmes affectés ou récupérer toutes les données commerciales critiques chiffrées par le virus.

Les acquisitions créent souvent un état intermédiaire dangereux. L’acheteur a le contrôle stratégique et la responsabilité publique, mais les réseaux de l’entreprise acquise, ses logiciels locaux, domaines administratifs, bureaux de service, systèmes financiers, contrats hérités et outils spécifiques au pays peuvent encore fonctionner dans leur forme antérieure. La transaction se conclut avant que chaque système ne soit reconçu. Les clients voient une promesse de marque en expansion avant que les ingénieurs et les propriétaires d’entreprise n’aient harmonisé les conditions nécessaires pour tenir cette promesse sous contrainte.

Cela n’est pas automatiquement de la négligence. Une intégration logistique mondiale est complexe, et remplacer chaque système acquis dès le premier jour peut être techniquement dangereux, commercialement perturbateur et juridiquement impraticable. Mais la période de transition n’est pas un espace vide. Elle nécessite une acceptation nommée du risque. Quels systèmes restent en dehors de l’architecture préférée de l’acheteur? Quels outils spécifiques au pays ont encore une portée privilégiée? Quels processus d’affaires ne peuvent pas être récupérés à partir de l’environnement de sauvegarde standard de l’acheteur? Quels enregistrements financiers, de facturation et de suivi seraient perdus ou retardés si l’environnement acquis était détruit? Quels services peuvent être redirigés via le réseau de l’acheteur sans perdre l’intégrité des douanes, des matières dangereuses, de la preuve de livraison ou de la facturation?

L’incident FedEx-TNT est donc différent du cas Maersk NotPetya. Maersk est souvent retenu comme une compagnie maritime mondiale perdant sa mémoire opérationnelle à travers les couches des navires, des terminaux et de l’identité. FedEx-TNT est plus nettement un cas d’intégration-acquisition. Le logiciel malveillant est entré dans une entreprise express acquise qui avait encore suffisamment d’identité technologique et opérationnelle distincte pour que FedEx dise que les autres sociétés de FedEx n’étaient pas affectées, mais aussi suffisamment de liens d’entreprise et clients pour que les dommages réduisent les résultats du segment FedEx Express et les prévisions pour les investisseurs. Le problème de responsabilité réside dans cet état intermédiaire.

L’approbation par la Commission européenne en 2016 de la transaction FedEx-TNTse concentrait sur la concurrence, pas sur la cyber-résilience. C’est normal pour un examen de fusion. Cela met également en évidence une lacune de gouvernance plus large. L’approbation de la concurrence peut demander si une opération réduit la rivalité sur le marché; elle n’exige généralement pas que l’acquéreur prouve que les systèmes d’identité du réseau acquis, la conception de sauvegarde et les logiciels de conformité locaux ne peuvent pas devenir une défaillance de mode commun. Pourtant, pour les clients, ces détails techniques déterminent si le réseau logistique élargi est plus résilient ou simplement plus grand.

NotPetya a rendu la connaissance des expéditions non fiable

NotPetya n’était pas un rançongiciel criminel ordinaire, bien qu’il affichât une demande de rançon. Lecompte technique contemporain de Microsoft sur l’épidémie de Petyadécrivait une chaîne d’approvisionnement liée au programme de mise à jour de M.E.Doc et un mouvement latéral utilisant plusieurs méthodes, y compris le vol de justificatifs d’identité et l’exploitation de SMB. Ladéclaration d’attribution du Royaume-Uni en 2018indiquait que l’armée russe était responsable et que l’attaque se faisait passer pour une activité criminelle alors que son but principal était la perturbation. Le ministère de la Justice des États-Unis a par la suiteinculpé six officiers du GRU russedans une campagne qui comprenait NotPetya; ces accusations sont des allégations jusqu’à preuve du contraire, mais le dossier public d’accusation décrit un logiciel malveillant destructeur plutôt qu’une négociation de rançon normale.

Pour TNT, le problème opérationnel immédiat n’était pas la classification abstraite du logiciel malveillant. C’était la disparition ou la dégradation des connaissances fiables sur les expéditions. FedEx a déclaré que les opérations et les communications de TNT étaient gravement affectées. Elle a indiqué que les clients subissaient des retards généralisés de service et de facturation et que des processus manuels étaient utilisés pour une part importante des opérations et du service client. C’est une défaillance opérationnelle très spécifique. Les colis et le fret existent encore physiquement lorsque les systèmes tombent en panne, mais la capacité du transporteur à accepter, acheminer, suivre, dédouaner, facturer et répondre dépend d’informations qui doivent être exactes, à jour et vérifiables.

L’état numérique d’un transporteur express est dense. Un enregistrement d’expédition peut contenir les données de l’expéditeur et du destinataire, le niveau de service, l’heure de ramassage, la classification douanière, les références de facture commerciale, les contrôles à l’exportation, l’assurance, le statut de matières dangereuses, l’engagement de livraison, la facturation du compte, la preuve de ramassage, les scans des hubs, l’affectation des véhicules, les codes d’exception et l’historique des réclamations. Lorsque cet enregistrement est indisponible, un client peut ne pas être en mesure de réserver un remplacement, de prouver où se trouve une expédition, de décider d’envoyer une autre unité, ou de rapprocher les factures. Un courtier en douane peut ne pas savoir si les documents ont été transmis. Un petit fabricant peut ne pas savoir si une pièce arrivera avant un créneau de production. Un acheteur public peut ne pas savoir si du matériel urgent doit être sourcé ailleurs.

La divulgation de FedEx en juillet 2017 montre que la continuité n’était pas binaire. Elle n’a pas dit que TNT était fermé. Elle a dit que tous les dépôts, hubs et installations étaient opérationnels et que la plupart des services TNT étaient disponibles, tandis que les clients subissaient encore des retards généralisés et que les processus manuels supportaient une part importante du travail. Cet état dégradé est précisément là où la responsabilité devient difficile. La direction peut dire en toute honnêteté que le fret continue de circuler. Les clients peuvent dire en toute honnêteté que le service qu’ils ont acheté ne fonctionne pas comme promis. Les deux affirmations peuvent être exactes parce que la continuité logistique a des couches: réseau physique, système opérationnel, interface client, enregistrement financier et gestion des exceptions.

C’est pourquoi les métriques cyber génériques sous-estiment l’événement. Un nombre de serveurs, de points de terminaison ou un nom de famille de logiciel malveillant ne dit pas à un expéditeur si une déclaration en douane a été préservée, si un engagement de livraison est fiable, si la fenêtre de réclamation reste ouverte, ou si une facturation retardée produira plus tard des frais contestés. L’unité responsable n’est pas seulement « système restauré »; c’est « fonction d’affaires restaurée avec suffisamment de preuves pour que les clients et les partenaires puissent s’y fier ».

Lapublication des résultats du premier trimestre de l’exercice 2018 de FedExconfirme ce problème de reprise en couches. La société a déclaré que la plupart des services TNT Express avaient repris au cours du trimestre et que pratiquement tous les systèmes opérationnels critiques avaient été restaurés, mais que le volume, le chiffre d’affaires et les bénéfices de TNT restaient inférieurs aux niveaux précédents. En d’autres termes, le transporteur pouvait restaurer les systèmes critiques sans pour autant restaurer la confiance commerciale antérieure, le flux de volume ou le comportement des clients au cours du même trimestre.

Le travail manuel a maintenu le service en vie, mais a également transféré les risques

Les solutions de contournement manuelles sont indispensables dans une crise logistique. Elles sont également risquées. La déclaration de FedEx selon laquelle des processus manuels soutenaient une part importante des opérations de TNT et des fonctions de service client est un signe de résilience pratique, pas un échec en soi. Les gens ont trouvé des moyens de maintenir la circulation des marchandises lorsque les systèmes étaient indisponibles. Le problème est que la continuité manuelle crée sa propre charge de preuves.

Considérons un petit exportateur utilisant TNT pour des expéditions express internationales. Si la réservation, les étiquettes, le suivi et la facturation sont altérés, l’exportateur peut s’appuyer sur les courriels, les appels téléphoniques, les références manuscrites, les instructions du dépôt local et une réconciliation ultérieure. Cela peut préserver le chiffre d’affaires et les relations clients pendant une courte période. Cela peut aussi créer des numéros de compte incompatibles, des champs douaniers manquants, des entrées en double, des lacunes de preuve de livraison, des notes de crédit retardées et des surtaxes contestées. Plus l’entreprise est petite, moins elle dispose de tampon pour l’incertitude. Un grand expéditeur peut avoir un logiciel de gestion du transport, des équipes de compte et des transporteurs alternatifs. Un petit fournisseur peut n’avoir qu’une fenêtre d’expédition et un client en attente.

La continuité du secteur public peut être affectée de la même manière. Les services de FedEx et de TNT ne sont pas des services publics, mais les transporteurs logistiques soutiennent les systèmes de santé, les laboratoires, les achats publics, les réparations d’urgence, l’éducation, les documents judiciaires et le commerce transfrontalier réglementé. Une panne de transporteur ne devient pas automatiquement une urgence nationale. Elle devient un problème de continuité publique lorsque les expéditions affectées sont urgentes, réglementées, rares ou font partie d’une fonction institutionnelle plus large. L’organisme public qui dépend d’un transporteur privé peut avoir peu de visibilité sur l’état de restauration du transporteur au-delà des avis clients et des appels du gestionnaire de compte.

FedEx a déclaré que des plans d’urgence utilisant à la fois les réseaux FedEx Express et TNT restaient en place pour minimiser les impacts sur les clients. C’est un contrôle d’entreprise précieux car il utilise le réseau plus large de l’acheteur pour amortir l’unité acquise. Mais l’utilisation d’urgence de deux réseaux soulève des questions difficiles: quelles expéditions peuvent être transférées en toute sécurité? Comment les données douanières et de facturation sont-elles transférées? Qui informe les clients que les conditions de service ont changé? Comment les exceptions sont-elles réconciliées ultérieurement? Comment les expéditions prioritaires sont-elles sélectionnées sans privilégier le client le plus bruyant par rapport à l’expédition ayant les conséquences les plus élevées?

Les preuves publiques ne répondent pas à ces questions au niveau de l’expédition. Cela n’est pas inhabituel; les transporteurs ne publient pas de manuels d’urgence détaillés. Mais une analyse de responsabilité peut tout de même nommer les preuves qu’un conseil d’administration et les clients voudraient raisonnablement. Il devrait y avoir des enregistrements montrant quels services ont été suspendus, dégradés ou redirigés par géographie; quelles approbations manuelles ont été autorisées; comment les contrôles des matières dangereuses et des douanes ont été préservés; comment les exceptions de facturation ont été suivies; quelles données ont ensuite été réconciliées; et comment les clients pouvaient confirmer si une expédition individuelle avançait selon des processus normaux, manuels ou substitués.

Le point sur les processus manuels change également la manière dont la reprise doit être mesurée. Si un système revient mais que des milliers d’expéditions traitées manuellement nécessitent encore une facturation propre, une preuve, une réconciliation douanière ou de réclamation, la reprise n’est pas complète. Si un portail client affiche un statut limité alors que les dépôts locaux disposent de meilleures informations informelles, la reprise est inégale. Si la facturation prend du retard et rattrape ultérieurement d’une manière que les clients ne peuvent pas vérifier, le transporteur a restauré le débit financier mais pas nécessairement la confiance des clients.

Leguide de planification d’urgence du NISTest une orientation fédérale plutôt qu’une obligation spécifique à FedEx, mais sa logique de base correspond à l’événement: les organisations doivent identifier les opérations critiques, planifier le traitement alternatif, tester la restauration et aligner la reprise sur l’impact opérationnel. Pour un opérateur de colis et de fret, le traitement alternatif n’est pas un détail de back-office. C’est le pont entre un colis physique et la promesse légale, payable et traçable qui y est attachée.

Le bilan financier a rendu le périmètre d’impact vérifiable

La publication des résultats du premier trimestre de l’exercice 2018 de FedEx a mis un chiffre sur l’effet initial sur l’entreprise. Elle a déclaré que la cyberattaque du 27 juin avait réduit les bénéfices de 0,79 USD par action diluée et que les résultats d’exploitation de FedEx Express avaient diminué en raison d’un impact estimé à 300 millions de dollars de la cyberattaque. Elle a également déclaré que la croissance du chiffre d’affaires avait été partiellement compensée par l’attaque et que la réduction du chiffre d’affaires et l’augmentation des dépenses résultant de l’attaque avaient plus que compensé d’autres avantages au niveau consolidé. Ce n’est pas un chiffre de perte sociale totale. C’est une estimation de la direction de l’effet sur les bénéfices de l’entreprise pour un trimestre.

La divulgation de juillet avait déjà averti que l’impact serait probablement significatif, que FedEx avait subi une perte de chiffre d’affaires en raison de la baisse des volumes de TNT et des coûts supplémentaires pour les plans d’urgence et la remédiation, et que FedEx n’avait pas d’assurance cyber ou autre en place couvrant l’attaque. L’absence d’assurance n’est pas la preuve que FedEx était imprudente; la couverture d’assurance cyber était encore en maturation, et les logiciels malveillants destructeurs de type guerrier ont créé par la suite des litiges de couverture difficiles sur le marché. Mais c’est un fait d’allocation important. Dans ce cas, une plus grande part du coût reconnu a été supportée par FedEx et ses investisseurs plutôt que par un assureur.

La responsabilité financière avait plusieurs canaux. Vint d’abord la perte immédiate de chiffre d’affaires et les coûts. Puis le comportement des clients: le volume, le chiffre d’affaires et les bénéfices de TNT sont restés inférieurs aux niveaux précédents même après la reprise de la plupart des services. Puis vint le coût d’intégration et l’attention de la direction. FedEx tentait d’intégrer TNT dans FedEx Express tout en reconstruisant les systèmes endommagés et en préservant les relations clients. Un incident cyber sur une plateforme acquise peut donc consommer les ressources mêmes nécessaires pour achever l’intégration qui réduirait l’exposition future.

Lerapport annuel 2018 de FedExa décrit les résultats de TNT Express au sein de FedEx Express et a continué à discuter de l’effet NotPetya dans le rapport de gestion. La formulation exacte et la présentation comptable ont changé à mesure que l’événement passait de la perturbation immédiate à la comparaison annuelle, mais le point de gouvernance est resté cohérent: la cyberattaque n’était pas un élément exceptionnel d’un jour. Elle a affecté le volume, les coûts, la restauration des systèmes et la planification de l’intégration sur plusieurs périodes de reporting.

L’allocation des pertes a également affecté les clients. Les déclarations publiques de FedEx ne quantifient pas les pertes absorbées par les expéditeurs, les courtiers, les dépôts locaux ou les sous-traitants. Il serait imprudent d’inventer un total en aval. L’absence de total, cependant, ne doit pas être interprétée comme une absence de préjudice. Un client qui a redirigé du fret, perdu un engagement de livraison, ajouté des stocks, payé du personnel pour suivre les colis, retardé la facturation à ses propres clients, ou contesté des frais a subi un coût réel même si ce coût n’apparaît jamais dans le calcul du résultat d’exploitation de FedEx.

C’est un problème récurrent dans les grandes pannes de service. Les sociétés ouvertes déclarent un impact financier significatif lorsque les règles de divulgation aux actionnaires l’exigent. Les clients subissent un impact opérationnel à plus petite échelle. Un impact de 300 millions de dollars sur un trimestre est suffisamment important pour être visible dans les résultats de FedEx. Une perte de 3 000 dollars pour une petite entreprise peut être invisible dans le dossier public tout en étant significative pour cette entreprise. Le dossier de responsabilité doit contenir ces deux vérités sans les forcer dans un seul chiffre vérifié.

L’assurance cyber peut obscurcir cela si elle est traitée comme la réponse. L’assurance est un outil de bilan. Elle ne livre pas un colis, ne reconstitue pas un dossier douanier, n’explique pas une exception de service, ni ne répond au client d’une petite entreprise. L’absence de couverture de FedEx a rendu l’allocation des coûts d’entreprise plus claire, mais même les pertes assurées n’auraient pas réglé la question opérationnelle. Les preuves nécessaires sont de savoir si le transporteur peut restaurer les fonctions de service et les dossiers clients d’une manière qui limite les dommages en aval, et pas seulement si l’entreprise peut absorber le résultat financier.

La responsabilité de la divulgation est distincte de la certitude de la cause profonde

L’épisode FedEx-TNT est apparu plus tard dans un litige boursier. Un dossier judiciaire fédéral dansIn re FedEx Corp. Securities Litigationa traité des allégations des investisseurs concernant l’intégration de TNT et les divulgations liées à NotPetya. Le dossier juridique est important parce qu’il montre que l’incident est devenu non seulement un événement opérationnel et financier, mais un litige sur ce que la direction a dit sur les progrès de l’intégration, les risques et les effets. Il doit être utilisé avec précaution. Une plainte en valeurs mobilières est une allégation, pas un fait. Une décision de rejet est une décision juridique sur la suffisance des plaidoiries, pas un audit technique complet des réseaux de TNT.

Cette distinction est centrale pour une bonne prose publique. Il est juste de dire que les investisseurs ont contesté certains aspects de la divulgation de FedEx et que les tribunaux ont évalué ces allégations selon les normes du droit des valeurs mobilières. Il n’est pas juste de traiter le litige comme une reconstruction complète de l’état des correctifs, de la segmentation, de la conception des sauvegardes ou des connaissances des dirigeants. Les preuves publiques disponibles pour les lecteurs ordinaires restent une combinaison des divulgations de FedEx, des publications de résultats, de l’analyse technique de NotPetya, du journalisme réputé et des documents judiciaires.

La divulgation de FedEx en juillet 2017 était inhabituellement franche quant à l’incertitude. La société a déclaré qu’elle ne pouvait pas encore estimer la durée de la restauration et qu’il était raisonnablement possible que TNT ne puisse pas restaurer entièrement tous les systèmes affectés ou récupérer toutes les données commerciales critiques chiffrées par le virus. Elle a également averti que l’attaque pourrait affecter de manière significative les contrôles de divulgation et le contrôle interne sur les rapports financiers au cours des périodes futures. C’est un aveu public fort de risque financier et de tenue de registres. Cela va au-delà du langage ordinaire du service client.

La raison est évidente une fois que l’entreprise est comprise. Si les systèmes opérationnels, les systèmes financiers, les systèmes de back-office et les systèmes d’affaires secondaires font tous partie de l’ensemble de reprise affecté, alors la capacité de l’entreprise à mesurer le chiffre d’affaires, facturer les clients, recouvrer les créances, traiter les réclamations et clôturer les comptes peut être affectée. Un incident cyber logistique peut donc passer de la continuité du service au contrôle des rapports financiers. Cela ne signifie pas que les déclarations de l’entreprise étaient nécessairement peu fiables. Cela signifie que la direction a reconnu un risque que les effets de l’incident puissent atteindre la machinerie de reporting elle-même.

La responsabilité de la divulgation a un calendrier différent de celui de la reprise opérationnelle. Les clients ont besoin d’un statut de service en temps quasi réel. Les investisseurs ont besoin d’un risque significatif et d’un impact financier. Les régulateurs peuvent avoir besoin d’un rapport d’incident, d’un avis de confidentialité ou de preuves de contrôle financier selon la juridiction et les faits. Les employés ont besoin d’instructions sûres et d’attentes réalistes. Un seul communiqué de presse ne peut satisfaire tous les publics. Le dossier FedEx montre une divulgation séquentielle: déclarations opérationnelles initiales, langage sur les risques du 10-K, impact sur les résultats trimestriels, et comparaisons ultérieures dans les rapports annuels. La question pour la gouvernance est de savoir si ces messages étaient liés à la même base de preuves interne plutôt qu’assemblés comme des pistes distinctes de relations publiques, d’investisseurs et de clients.

Une bonne gouvernance des incidents devrait donc préserver les preuves de décision: quand l’entreprise a pris connaissance de l’attaque, ce qu’elle savait des systèmes affectés de TNT, quand elle a conclu que les autres systèmes de FedEx n’étaient pas affectés, comment elle a évalué le risque de violation de données, comment elle a mesuré la perte de chiffre d’affaires et les coûts supplémentaires, et comment elle a décidé de ce qu’il fallait dire aux clients sur la disponibilité du service. Le dossier public n’a pas besoin d’exposer chaque détail de sécurité pour fournir une responsabilité. Il a besoin de suffisamment de cohérence pour que les clients, les investisseurs et les régulateurs comprennent ce qui était connu, ce qui restait incertain et ce qui avait changé.

L’intégration après un incident n’est pas une intégration ordinaire

FedEx avait un programme d’intégration stratégique préexistant pour TNT. NotPetya a changé la nature de ce travail. L’intégration après un événement de logiciel malveillant destructeur n’est pas la même chose qu’une migration planifiée des systèmes. La migration planifiée peut séquencer les fonctions par pays, produit, client et finance pour une optimisation commerciale. L’intégration post-incident doit d’abord reconstruire la confiance: identité, bases de référence des points de terminaison, chemins réseau propres, données d’affaires récupérables, contrôles financiers, interfaces clients et conservation des preuves.

Lerapport annuel 2021 de FedExa décrit plus tard l’achèvement de l’intégration du réseau physique de TNT Express dans FedEx Express en Europe et a noté le travail de rebranding. À ce stade, l’incident était entré dans l’histoire de l’entreprise. Mais la longue trajectoire compte. Une acquisition qui crée un chiffre d’affaires immédiat et une portée de marché peut laisser un fardeau d’intégration technologique et opérationnelle pluriannuel. Un incident cyber destructeur peut anticiper le coût de ne pas encore avoir achevé ce fardeau.

Les preuves d’intégration devraient être plus qu’un tableau de jalons. Un conseil d’administration aurait besoin de savoir si les domaines acquis étaient isolés ou retirés, si les logiciels de conformité locaux étaient placés dans des zones restreintes, si la sauvegarde et la restauration étaient testées dans des scénarios destructeurs, si les données clients et les dossiers financiers étaient migrés avec des contrôles de rapprochement, si les portails en double étaient retirés, si l’autorité de réponse aux incidents était claire entre les pays, et si l’entreprise acquise pouvait être basculée sur le réseau de l’acheteur sans corrompre les engagements de service.

Lerapport initial de découverte de logiciels malveillants de la CISA et du FBI sur NotPetyan’est pas un rapport médico-légal de FedEx, mais il renforce pourquoi l’intégration a besoin d’une optique de logiciel malveillant destructeur. NotPetya a utilisé des techniques de vol de justificatifs et de propagation qui rendaient la pensée périmétrique ordinaire inadéquate. Si un environnement acquis a une connectivité de confiance avec l’acheteur, l’acheteur doit demander ce que le logiciel malveillant peut faire avec cette confiance. Si l’environnement acquis est séparé, l’acheteur doit demander comment le service acquis continue lorsque cet environnement est détruit. Les deux questions importent.

L’entrée MITRE ATT&CK pourNotPetyaaide également à éviter une narration monocause. Le dossier technique public décrit plusieurs techniques, y compris un comportement lié aux justificatifs et un chiffrement destructeur. Pour la gouvernance, le point n’est pas de sélectionner un contrôle magique qui aurait tout résolu. Le point est de superposer les contrôles de sorte que la compromission d’un produit logiciel local requis ne devienne pas une destruction de données à l’échelle de l’entreprise et une perte de fonctions d’affaires.

La question de l’intégration post-incident inclut également les personnes. Les employés de TNT ont supporté le stress opérationnel du travail manuel, de la frustration des clients et de la restauration des systèmes. Les employés de FedEx ont supporté le fardeau de soutenir la contingence via le réseau plus large tout en protégeant les autres systèmes de FedEx. Les équipes d’intégration ont supporté la pression d’accélérer ou de changer les plans tout en restaurant la confiance. La responsabilité n’est pas servie en traitant ces employés comme la cause du problème. Elle est servie en veillant à ce que leurs connaissances d’urgence fassent partie d’une conception opérationnelle contrôlée plutôt que de disparaître après la crise.

Les clients ont besoin de preuves de reprise qu’ils peuvent utiliser

Les clients ont rarement besoin d’un rapport médico-légal complet de la part d’un transporteur. Ils ont besoin de preuves de reprise utilisables. Dans le cas FedEx-TNT, le problème rencontré par les clients comprenait des retards de service, des retards de facturation et des fonctions de service client manuelles. Une petite entreprise n’a pas besoin de connaître chaque décision de contrôleur de domaine pour agir. Elle a besoin de savoir si un ramassage aura lieu, si une expédition peut être suivie, si les données douanières sont présentes, si une preuve de livraison sera disponible, si les factures tardives seront exactes, et si les niveaux de service alternatifs sont réalistes.

Une couverture médiatique réputée de l’époque a capturé le côté frustration de cette équation. The Guardian a rapporté en juillet 2017 queles clients de TNT se plaignaient de colis bloqués après la cyberattaque, tandis que la déclaration publique de FedEx reconnaissait des retards généralisés de service et de facturation. Les rapports des clients ne doivent pas être traités comme un ensemble de données complet, mais ils montrent la conséquence vécue de la dégradation des informations logistiques. Un colis retardé n’est pas seulement en retard; il peut devenir suffisamment intraçable pour que le client ne puisse pas décider quoi faire ensuite.

Les preuves que les clients peuvent utiliser sont souvent modestes. Un transporteur peut publier les voies de service affectées, des fenêtres de restauration approximatives, des conseils de traitement des réclamations, des règles de rapprochement des factures, des canaux de contact qui ne dépendent pas du système défaillant, et des conseils pour les expéditions prioritaires ou réglementées. Il peut dire aux clients quels événements de suivi sont fiables et lesquels peuvent accuser un retard. Il peut séparer « installation ouverte » de « service normal rétabli ». Il peut préserver les numéros de référence manuels et les mapper ultérieurement aux enregistrements d’expédition ordinaires. Il peut communiquer lorsque les systèmes financiers se rattrapent afin que les clients ne soient pas surpris par des frais retardés.

Les petites et moyennes entreprises nécessitent une attention particulière car elles peuvent ne pas avoir d’équipes logistiques professionnelles. Leguide de résilience de la chaîne d’approvisionnement pour les petites entreprises de la CISAest une orientation générale, pas une conclusion spécifique à FedEx, mais il souligne que les petites organisations ont besoin d’une planification d’urgence réaliste. Une panne d’un transporteur peut tester si le client a des comptes d’expédition alternatifs, des copies locales de documents, des modèles de notification client, des tampons de stock et des critères pour payer un fret premium. Le transporteur est toujours propriétaire de ses systèmes; le client est propriétaire de son plan de dépendance.

La continuité du secteur public a un problème de preuves similaire. Un organisme public qui dépend de la logistique express devrait savoir quelles expéditions ont des conséquences élevées, quels sont les transporteurs ou itinéraires alternatifs, comment manipuler les matières sensibles ou réglementées, et comment authentifier les instructions du transporteur pendant un incident cyber. L’organisme ne peut pas reconcevoir l’architecture du réseau acquis de FedEx. Il peut exiger une transparence du niveau de service, des contacts en cas d’incident et des exercices de continuité pour les voies critiques. Le transporteur peut soutenir cela en rendant les informations sur l’état dégradé suffisamment précises pour que les organismes publics puissent choisir des actions alternatives.

La meilleure preuve de reprise pour les clients n’est pas une promesse que « le service est de retour ». C’est un ensemble d’états de service vérifiables. Normal, dégradé, manuel, redirigé, suspendu et en cours de rapprochement devraient signifier des choses différentes. Ils devraient être visibles par produit, région et fonction. Un client devrait pouvoir distinguer une expédition qui se déplace physiquement mais est retardée numériquement d’une expédition qui n’a pas d’enregistrement de garde fiable. Cette distinction est la différence entre un inconvénient tolérable et une incertitude opérationnelle inacceptable.

Le dossier public a également besoin de recoupements car les incidents logistiques deviennent rapidement des légendes. Les documents déposés auprès de la SEC par FedEx et les communiqués pour les investisseurs ancrent les effets financiers et opérationnels rapportés par l’entreprise, tandis que les reportages indépendants aident à montrer comment les clients ont vécu la perturbation. Leformulaire 10-K 2018 de FedEx déposé auprès de la SECest utile car il place la cyberattaque de TNT dans le cadre du rapport annuel vérifié plutôt que dans un cycle de presse unique. Lerapport annuel 2017 de FedEx hébergé sur AnnualReportsdonne le contexte d’acquisition et d’intégration avant NotPetya qui existait avant que l’incident ne domine le récit. La couverture par Reuters de l’impact sur les bénéfices de FedEx après l’attaquefournit un compte rendu externe de la manière dont l’entreprise a expliqué l’effet de l’attaque aux investisseurs.

Ces trois types de sources répondent à des questions différentes. Le dossier du rapport annuel demande ce que FedEx a dit aux investisseurs en vertu des règles de divulgation des valeurs mobilières. Le rapport annuel pré-incident demande quelle promesse d’intégration et quelle structure d’entreprise existaient avant que l’événement de logiciel malveillant ne les teste. La couverture du marché demande comment la divulgation a été reçue par les observateurs extérieurs et quels chiffres ont été mis en avant en temps réel. Un article de responsabilité responsable doit garder les trois en vue. Sinon, l’histoire peut trop pencher soit vers un conte technique de logiciel malveillant, soit vers un conte de finance d’entreprise, alors que la vérité opérationnelle se trouvait entre les deux: les systèmes hérités, le service client, le fret physique, les contrôles financiers et le reporting d’une société cotée étaient tous liés.

À quoi ressembleraient de bonnes preuves

Le dossier public ne divulgue pas de post-mortem technique complet pour TNT. Cela limite toute conclusion externe. Pourtant, un dossier de responsabilité mature après ce type d’événement contiendrait plusieurs catégories de preuves.

Premièrement, les preuves de risque d’acquisition. Avant la clôture et pendant l’intégration, l’acquéreur devrait maintenir un registre des systèmes critiques hérités, des logiciels spécifiques au pays, de la connectivité privilégiée, de l’état des sauvegardes, des technologies non supportées, des contrôles financiers, des interfaces clients et des exceptions de segmentation en suspens. Le registre ne devrait pas être un artefact de salle de transaction oublié après la transaction. Il devrait piloter la priorité d’intégration et l’acceptation des risques par les dirigeants. Si une application fiscale ou douanière locale doit rester en usage, sa frontière de confiance doit être explicite.

Deuxièmement, les preuves de domaine de défaillance. Après l’événement, la direction devrait être en mesure de montrer comment NotPetya est entré, comment il s’est déplacé, quels systèmes il a affectés, quels systèmes il n’a pas affectés, et quels contrôles ont limité la propagation aux autres sociétés de FedEx. FedEx a déclaré publiquement que les systèmes et les données des autres sociétés de FedEx n’étaient pas affectés à ce moment-là. Les preuves étayant cette conclusion devraient inclure la surveillance, la segmentation, l’examen des justificatifs et la validation post-incident, et pas seulement une absence de symptômes évidents.

Troisièmement, les preuves de récupérabilité. FedEx a déclaré en juillet 2017 que TNT pourrait ne pas être en mesure de restaurer tous les systèmes affectés ou de récupérer toutes les données commerciales critiques. Un dossier de clôture devrait identifier quelles données ont été récupérées, lesquelles ont été reconstituées à partir d’enregistrements manuels, lesquelles ont été perdues, lesquelles n’étaient pas nécessaires, et quels processus clients ou financiers ont été affectés. « Données commerciales critiques » est trop important pour rester une expression générale après la crise.

Quatrièmement, les preuves de fonction client. Le transporteur devrait mesurer la restauration par réservation, ramassage, traitement en hub, documents douaniers, suivi, livraison, preuve, facturation, réclamations et support de compte. Si des processus manuels ont été utilisés, les preuves devraient montrer les taux d’erreur, les arriérés de rapprochement, les enregistrements en double, les factures contestées et les volumes de communication client. C’est ainsi qu’une panne de service devient vérifiable plutôt qu’anecdotique.

Cinquièmement, les preuves d’allocation des pertes. FedEx a reconnu un impact trimestriel estimé à 300 millions de dollars et a déclaré qu’il n’y avait pas de couverture d’assurance. Cela explique le coût pour l’entreprise, mais un dossier de responsabilité complet devrait également suivre les crédits clients, les réclamations, les frais annulés, les frais contestés, les effets sur les sous-traitants et les coûts de support exceptionnels. Il ne publierait pas nécessairement chaque chiffre. Il devrait exister en interne et être disponible pour les auditeurs, les régulateurs ou les tribunaux lorsque c’est important.

Enfin, les preuves d’intégration-remédiation. Le programme post-incident devrait montrer quels systèmes TNT ont été reconstruits, isolés, retirés ou migrés; quels contrôles ont été modifiés avant la reconnexion; comment les contrôles financiers et de divulgation ont été validés; et comment les plans de continuité ont changé pour les futures entités acquises. Leguide plus large de gestion des risques de la chaîne d’approvisionnement TIC de la CISAtraite la dépendance des tiers et de la chaîne d’approvisionnement comme un risque géré. Une entreprise acquise est la forme la plus intense de cette dépendance parce que le risque externe devient interne tout en portant encore son ancienne architecture.

La leçon de responsabilité est le contrôle hérité

L’attaquant porte la responsabilité du déploiement de logiciels malveillants destructeurs. Le dossier public d’attribution et d’accusation pénale soutient le traitement de NotPetya comme un acte destructeur lié à un État, et non comme une défaillance commerciale de routine. TNT a également été exposé par le biais d’un logiciel utilisé pour la conformité fiscale ukrainienne, une exigence locale que de nombreuses entreprises mondiales devaient gérer. Ces faits importent. Ils empêchent une histoire simpliste dans laquelle FedEx ou TNT est blâmé pour l’existence de NotPetya.

Ils ne mettent pas fin à l’analyse de responsabilité. FedEx contrôlait l’acquisition, le programme d’intégration, la promesse de service public, l’allocation des ressources de reprise, les communications avec les clients, les divulgations financières et le rythme auquel les systèmes hérités étaient soit séparés, renforcés ou retirés. La direction de TNT contrôlait des parties de l’environnement opérationnel local préexistant et de la conception de la continuité. Les clients ne contrôlaient leur propre planification de dépendance qu’à la marge. Les organismes publics ne contrôlaient leur approvisionnement et leur plan de repli pour les expéditions critiques que de manière limitée. La responsabilité suit donc le contrôle, et le contrôle était inégalement réparti.

La leçon durable de l’incident n’est pas « n’acquérez jamais une entreprise avec un risque cyber ». Chaque entreprise a un risque cyber. La leçon est que le risque cyber fait partie de ce qui est acquis. Il n’est pas un side-car de la transaction. L’acheteur hérite non seulement du chiffre d’affaires, des itinéraires, des clients et des employés, mais aussi de la dette de sauvegarde, de l’exposition aux logiciels locaux, de la confiance d’identité, de la fragilité des contrôles financiers, des obligations en matière de données clients, de la maturité des processus manuels et des lacunes dans les preuves de reprise.

La réponse de FedEx a montré des forces significatives. Elle a identifié publiquement la frontière TNT, utilisé des plans d’urgence impliquant les deux réseaux, restauré la plupart des services au cours du trimestre, quantifié l’impact financier significatif et poursuivi l’effort d’intégration à plus long terme. Ce ne sont pas des réalisations triviales. Le même dossier montre la gravité de la faiblesse sous-jacente: retards généralisés, traitement manuel lourd, récupération incertaine de certaines données affectées, aucune assurance applicable, volume réduit et pression sur les bénéfices.

La norme de responsabilité pratique pour les acquisitions futures devrait être explicite. Avant la clôture, identifier les systèmes dont la défaillance arrêterait ou dégraderait le service client. Pendant la transition, isoler les outils de conformité locaux et les domaines administratifs hérités afin que leur compromission ne puisse pas décider du sort de l’entreprise élargie. Tester la restauration des fonctions d’expédition, financières et de service client, et pas seulement de l’infrastructure. Préparer des preuves client pour le service dégradé. Intégrer le coût de la dette de reprise cyber dans la transaction et dans les jalons d’intégration des dirigeants.

FedEx-TNT est donc un cas de vérité opérationnelle héritée. Le réseau de colis n’a pas disparu. La capacité à parler avec confiance des réservations, du suivi, des factures, de l’état et de la reprise a disparu. Une fois que l’acheteur est propriétaire de cette promesse, la cyber-résilience devient une partie de la responsabilité de la fusion. Un réseau logistique plus grand n’est pas automatiquement plus résilient; il ne devient résilient que lorsque les informations nécessaires pour déplacer, prouver et facturer les marchandises peuvent survivre à la défaillance des systèmes dont il a hérité.