Résumé

  • Confirmé par JBS et les autorités publiques:JBS USA a déterminé le dimanche 30 mai 2021 qu'elle était la cible d'une cyberattaque organisée affectant des serveurs soutenant les systèmes informatiques nord-américains et australiens. L'entreprise a suspendu les systèmes affectés, notifié les autorités, activé des équipes de réponse internes et externes, et indiqué que les serveurs de sauvegarde n'étaient pas affectés. JBS a par la suite déclaré que toutes les installations mondiales étaient pleinement opérationnelles le 3 juin, que la perte de production alimentaire était limitée à moins d'une journée de production, et qu'elle avait payé l'équivalent de 11 millions de dollars de rançon. Le FBI a attribué l'attaque à REvil et Sodinokibi.
  • Bilan de continuité:La perturbation a touché les rouages pratiques de l'approvisionnement alimentaire: calendriers d'abattage, démarrage des usines, expéditions, transactions clients et fournisseurs, flux de bétail, surveillance gouvernementale des marchés, et la confiance des détaillants et des acheteurs. JBS a indiqué avoir expédié des produits depuis presque toutes ses installations aux États-Unis le 1er juin et donné la priorité aux systèmes essentiels à la production, mais les données publiques ne fournissent pas de courbe de capacité usine par usine, de registre des retards clients, de registre de paie des travailleurs, ni de rapprochement des pertes pour les producteurs.
  • Compte rendu technique limité:JBS n'a pas publié de rapport d'investigation complet. Ses déclarations n'identifient pas le vecteur d'accès initial, le temps de présence, les applications affectées, la conception de la segmentation, la séquence exacte de restauration, l'historique des négociations de rançon, le traitement par l'assurance, ou la validation indépendante des conclusions sur l'exfiltration de données. Les affirmations concernant les « systèmes centraux », les sauvegardes chiffrées et les systèmes redondants doivent être considérées comme des déclarations de l'entreprise, non comme un audit complet de l'architecture.
  • Évaluation:Des acteurs criminels sont responsables de l'intrusion et de l'extorsion. JBS et ses partenaires publics ont contrôlé différents aspects des conséquences: isolement des systèmes, restauration des sauvegardes, ordre de redémarrage des usines, coordination gouvernementale, communication de marché, solutions de contournement pour les producteurs et les clients, et la décision controversée de payer alors que la plupart des installations étaient déjà opérationnelles. Cela fait de cette affaire un dossier de responsabilité en matière de continuité alimentaire, et pas seulement un gros titre de cybercriminalité.

L'approvisionnement en viande est un système d'horlogerie

La transformation de la viande n'est pas qu'un problème d'usine. C'est un système d'horlogerie. Les bovins, les porcs et la volaille arrivent selon des calendriers qui tiennent compte du bien-être animal, du coût des aliments, de la main-d'œuvre, de l'inspection, de la chaîne du froid, du transport, des promotions en magasin et des engagements à l'exportation. Une usine qui s'arrête ne se contente pas de fermer une page web.

Elle modifie l'endroit où les animaux attendent, quels producteurs sont collectés, quels travailleurs se présentent à leur quart, quels créneaux de la chaîne du froid sont utilisés, quels clients reçoivent les produits, et quels prix de marché peuvent être observés avec confiance.

C'est pourquoi l'incident JBS est devenu plus qu'une simple histoire de rançongiciel. La première déclaration publique de JBS USA indiquait que l'entreprise avait déterminé le dimanche 30 mai 2021 qu'elle était la cible d'une cyberattaque organisée affectant certains serveurs soutenant ses systèmes informatiques nord-américains et australiens. L'entreprise a déclaré avoir pris des mesures immédiates en suspendant les systèmes affectés, en notifiant les autorités et en activant des professionnels internes et des experts tiers. Elle a également indiqué que les serveurs de sauvegarde n'étaient pas affectés et a averti que certaines transactions clients et fournisseurs pourraient être retardées. (Déclaration de JBS du 31 mai)

Ces quelques phrases constituent le début du dossier de responsabilité. Elles montrent que l'événement a atteint des systèmes suffisamment importants pour être suspendus; que JBS a choisi le confinement avant la restauration complète; que l'entreprise comprenait l'effet sur les transactions clients et fournisseurs; et que les sauvegardes étaient essentielles à la reprise. Elles ne montrent pas si les serveurs affectés étaient des systèmes de planification de la production, des systèmes d'identité, des systèmes financiers, des services réseau, des serveurs de fichiers, des interfaces d'usine, ou une combinaison de ces éléments.

Elles ne montrent pas non plus jusqu'où les attaquants se sont déplacés avant d'être détectés.

La courte durée de la perturbation est importante. La catégorie de l'organisation perturbée l'est tout autant. JBS était un transformateur majeur dans les secteurs du bœuf, du porc, de la volaille et des plats préparés, avec des opérations reliant les producteurs aux marchés de détail et de la restauration. L'Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA) identifie l'alimentation et l'agriculture comme un secteur d'infrastructure critique, car une perturbation peut affecter la santé publique, la sécurité, la sûreté et l'activité économique. (Aperçu du secteur alimentaire et agricole de la CISA) Une interruption d'une journée à cette échelle n'est pas la même chose qu'une panne d'une journée dans un service non essentiel.

La meilleure question n'est donc pas de savoir si les rayons se sont vidés partout. Ce n'est pas le cas. La question est de savoir quels contrôles ont rendu la perturbation courte, quels contrôles ont échoué ou n'ont jamais été mis en évidence publiquement, et qui a porté l'incertitude pendant l'intervalle avant que JBS et les agences publiques puissent dire que les risques liés à l'approvisionnement, aux prix et aux données avaient été contenus.

La chronologie publique est concise mais révélatrice

Le dossier de l'incident est inhabituellement condensé. Le 31 mai, JBS a décrit l'attaque et ses actions de confinement. Le 1er juin, JBS et Pilgrim's ont déclaré avoir réalisé des progrès significatifs dans la résolution d'une cyberattaque affectant les opérations en Amérique du Nord et en Australie, tandis que les opérations au Mexique et au Royaume-Uni n'étaient pas touchées. JBS a indiqué que les systèmes étaient en cours de remise en ligne, que l'entreprise exécutait ses plans de cybersécurité et que la grande majorité des usines de bœuf, de porc, de volaille et de plats préparés seraient opérationnelles le lendemain. Elle a également déclaré avoir expédié des produits depuis presque toutes ses installations aux États-Unis, que plusieurs usines de porc, de volaille et de plats préparés étaient opérationnelles, et que l'installation canadienne de bœuf avait repris la production. (Déclaration de progrès de JBS du 1er juin)

Cette déclaration du 1er juin est importante car elle relie la restauration informatique aux obligations spécifiques au secteur alimentaire. JBS n'a pas seulement dit que les systèmes étaient en cours de déchiffrement ou de reconstruction. Elle a déclaré reconnaître sa responsabilité envers les membres de l'équipe, les producteurs et les consommateurs, et que des appels gouvernementaux étaient en cours pour sauvegarder l'approvisionnement alimentaire. Ce ne sont pas des catégories ornementales. Les membres de l'équipe avaient besoin d'informations sur les quarts de travail et la sécurité.

Les producteurs devaient savoir si les animaux seraient acceptés. Les clients avaient besoin d'expéditions. Les consommateurs et les agences publiques avaient besoin de la certitude qu'un transformateur majeur ne devenait pas une défaillance de cause commune.

Le 2 juin, le FBI a attribué l'attaque à REvil et Sodinokibi, traitant l'affaire comme faisant partie d'un problème plus large de lutte contre la cybercriminalité plutôt que comme un événement isolé d'entreprise. La déclaration du FBI n'a pas publié d'indicateurs, de détails techniques ni de plainte légale. Elle a toutefois identifié publiquement l'écosystème des rançongiciels et a exhorté les victimes à informer rapidement le bureau. (Déclaration du FBI sur JBS)

Le 3 juin, JBS a déclaré que toutes les installations mondiales étaient pleinement opérationnelles après la résolution de la cyberattaque criminelle qui avait commencé le 30 mai. L'entreprise a attribué ce résultat à une réponse rapide, à des systèmes informatiques robustes et à des serveurs de sauvegarde chiffrés, et a indiqué que la production alimentaire perdue pendant l'attaque était limitée à moins d'une journée de production. Elle a ajouté que la production perdue dans l'ensemble de l'activité mondiale serait entièrement récupérée d'ici la fin de la semaine suivante. L'entreprise a également déclaré avoir volontairement arrêté tous les systèmes pour isoler l'intrusion, limiter une éventuelle infection et préserver les systèmes centraux. (Déclaration de résolution de JBS du 3 juin)

Le 9 juin, JBS a confirmé avoir payé l'équivalent de 11 millions de dollars de rançon. L'entreprise a déclaré que la grande majorité des installations étaient opérationnelles au moment du paiement et que la décision avait été prise en consultation avec des professionnels informatiques internes et des experts tiers afin d'atténuer les problèmes imprévus et de s'assurer qu'aucune donnée n'avait été exfiltrée. JBS a également indiqué que les résultats préliminaires de l'enquête confirmaient qu'aucune donnée de l'entreprise, des clients ou des employés n'avait été compromise. (Déclaration de rançon de JBS du 9 juin)

Cette dernière déclaration complique les interprétations faciles. JBS n'a pas présenté le paiement comme la seule voie pour rétablir les usines fermées. Elle a déclaré que la plupart des installations étaient déjà opérationnelles lorsque le paiement a été effectué. La décision appartient donc à une catégorie plus étroite mais toujours sérieuse: un paiement effectué pour réduire le risque résiduel, l'incertitude sur le risque lié aux données ou l'incertitude de reprise après que la restauration opérationnelle ait considérablement progressé. C'est différent de payer parce qu'il n'y a pas de sauvegarde.

C'est également différent de refuser de payer parce que les sauvegardes résolvent tous les dommages.

Ce qui a été confirmé et ce qui ne l'a pas été

Les faits confirmés sont substantiels. JBS a identifié une cyberattaque, suspendu les systèmes affectés, utilisé des serveurs de sauvegarde non affectés, notifié les autorités, rétabli rapidement la production, coordonné avec les gouvernements, déclaré qu'elle n'avait aucune preuve de compromission des données des clients, fournisseurs ou employés, et a ensuite révélé un paiement de rançon de 11 millions de dollars. Le FBI a attribué l'attaque à REvil et Sodinokibi.

Les faits non confirmés sont tout aussi importants. JBS n'a pas publié la méthode d'entrée de l'attaquant. Elle n'a pas publié la durée de la présence de l'attaquant dans l'environnement. Elle n'a pas précisé si l'attaque avait commencé par un service d'accès à distance, un fournisseur d'identité, un point d'extrémité, une connexion fournisseur, un serveur exposé, un e-mail d'hameçonnage ou un identifiant compromis. Elle n'a pas listé les systèmes chiffrés, les systèmes isolés par mesure de sécurité, les systèmes restaurés à partir de sauvegarde, ni les systèmes reconstruits à partir d'images saines.

Elle n'a pas fourni de temps d'arrêt usine par usine, de rapport indépendant d'analyse de données, ni d'explication détaillée de ce que signifiait « systèmes centraux ».

Cela est important car la responsabilité peut être faussée par une panne courte. Si un incident ne dure que quelques jours, le public peut en déduire que les contrôles étaient solides. Parfois, cette déduction est juste. Un confinement rapide, des sauvegardes non affectées, une reprise rodée et une priorisation opérationnelle peuvent transformer un événement potentiellement grave en une perturbation limitée. Mais la même courte durée peut aussi masquer les coûts transférés aux travailleurs, aux producteurs, aux partenaires logistiques, aux clients et aux agences publiques. Un redémarrage rapide n'est pas un rapport de contrôle complet.

Le langage même de JBS montre à la fois de la solidité et des lacunes. Le fait que les serveurs de sauvegarde n'aient pas été affectés est un signal fort, surtout lorsqu'il est combiné à un redémarrage de la production. L'affirmation selon laquelle les criminels n'ont pas accédé aux systèmes centraux est rassurante, mais sans définition de ces systèmes, elle ne peut pas être testée indépendamment. Une conclusion préliminaire d'absence de compromission de données est significative, mais elle n'équivaut pas à une publication d'investigation finale.

Une déclaration d'entreprise selon laquelle toutes les installations mondiales étaient pleinement opérationnelles le 3 juin est une étape majeure de reprise, mais elle ne divulgue pas l'arriéré, les heures supplémentaires, les expéditions manquées, le rééchelonnement du bétail ou le travail de rapprochement nécessaire pour rendre cette déclaration vraie en pratique.

Le confinement a créé son propre choc de disponibilité

JBS a déclaré avoir volontairement arrêté tous les systèmes pour isoler l'intrusion, limiter une éventuelle infection et préserver les systèmes centraux. Il s'agit d'une réponse défendable face à un rançongiciel. Les recommandations de la CISA en matière de rançongiciels préconisent d'isoler les systèmes affectés et de les mettre hors ligne si nécessaire pour empêcher la propagation, tout en soulignant l'importance des sauvegardes hors ligne, des tests de restauration, du moindre privilège, des correctifs, de l'authentification multifacteur, de la segmentation, de la planification de la réponse aux incidents et de la discipline des communications. (Guide StopRansomware de la CISA)

La question de la responsabilité n'est pas de savoir si l'arrêt était fondamentalement mauvais. Elle est de savoir si l'entreprise disposait d'un mode dégradé testé pour les fonctions d'approvisionnement alimentaire qui seraient affectées par l'arrêt. Un redémarrage d'usine n'est pas seulement un redémarrage de serveur.

Il nécessite la planification des employés, l'assainissement, les contrôles de sécurité, l'inspection par l'USDA dans les installations américaines, la réception du bétail, l'ordonnancement des lignes, l'emballage, le stockage frigorifique, l'allocation des commandes, le transport, la facturation et la communication avec les clients. Si une décision de confinement liée à un rançongiciel retire les systèmes qui coordonnent ces fonctions, l'organisation a besoin de moyens alternatifs pour décider quelles usines fonctionnent en premier et quelles obligations sont prioritaires.

Dans l'analyse ordinaire des rançongiciels, la « disponibilité » désigne souvent les fichiers ou les applications. Dans une usine de transformation de viande, la disponibilité signifie également que le bétail peut être accepté, que les animaux ne sont pas détenus plus longtemps que nécessaire, que les travailleurs savent s'ils doivent se présenter, que les usines peuvent fonctionner en toute sécurité, que les produits peuvent circuler dans la chaîne du froid et que les clients peuvent recevoir suffisamment d'informations précises pour planifier. Ces aspects ne sont pas distincts de la cybersécurité.

Ils sont la surface réelle de la cybersécurité.

La mise à jour du 1er juin de JBS indiquait que des produits avaient été expédiés depuis presque toutes les installations américaines alors que les opérations des usines étaient encore en cours de reprise. Cela implique qu'au moins une partie des stocks et de la logistique a survécu au premier choc numérique. Cela suggère également que le problème de continuité comportait des couches. L'expédition de produits existants n'est pas la même chose que la restauration complète de l'abattage et de la transformation.

Faire fonctionner plusieurs usines de porc, de volaille et de plats préparés n'est pas la même chose que rétablir toute la capacité de bœuf. La reprise de la production dans une installation canadienne de bœuf est une étape importante, pas une carte complète de l'Amérique du Nord.

La preuve publique la plus solide pour JBS n'est donc pas que l'entreprise n'a jamais été vulnérable. C'est qu'elle a pu isoler les systèmes, utiliser les sauvegardes, prioriser les systèmes critiques pour la production et redémarrer rapidement. La question restante est de savoir quelles preuves montreraient que le redémarrage a été durable, sûr et équitable pour les producteurs, les travailleurs et les clients.

Le paiement de la rançon était une décision de gouvernance, pas une note technique

Le paiement de 11 millions de dollars est souvent retenu comme le gros titre. Il devrait être analysé comme une décision de gouvernance ayant des dimensions techniques, juridiques, éthiques, assurantielles et d'intérêt public.

JBS a déclaré que la grande majorité des installations étaient opérationnelles au moment du paiement. Ce seul fait empêche de raconter une simple histoire de « payer pour redémarrer la production ». L'entreprise a présenté le paiement comme un moyen d'atténuer les problèmes imprévus et de s'assurer qu'aucune donnée n'avait été exfiltrée. C'est une affirmation qui a des conséquences. Cela signifie que la direction croyait, ou avait été informée, que le risque résiduel après la restauration justifiait un paiement important à des criminels.

Les informations publiques ne révèlent pas l'analyse de risque spécifique, la demande de rançon, l'historique des négociations, le filtrage des sanctions, l'implication du conseil d'administration, l'implication des assureurs, les conseils des forces de l'ordre, ni si le paiement a effectivement modifié la probabilité d'exposition des données.

Les directives publiques du FBI avertissent que le paiement d'une rançon ne garantit pas la récupération ni n'empêche la fuite de données, et qu'il encourage d'autres attaques. Le témoignage du FBI après la vague d'incidents de 2021 a également souligné que le bureau décourage les paiements tout en exhortant les victimes à signaler les incidents quelle que soit leur décision de paiement. (Témoignage du FBI sur les rançongiciels) Cela ne signifie pas que tout paiement est légalement interdit, et cela ne résout pas le devoir d'urgence d'un conseil d'administration d'évaluer un préjudice immédiat. Cela signifie qu'un paiement effectué par une grande entreprise d'infrastructure critique a des effets externes.

L'effet externe est évident dans l'approvisionnement alimentaire. Si un paiement réduit l'incertitude et soutient un redémarrage propre, il peut réduire les dommages à court terme pour les producteurs, les travailleurs, les détaillants et les consommateurs. S'il finance le même écosystème criminel qui attaque d'autres opérateurs, il peut augmenter le risque à long terme pour les hôpitaux, les écoles, les petits transformateurs et les agences publiques. La déclaration publique de JBS n'a pas publié suffisamment de preuves pour que des observateurs extérieurs puissent peser ces effets.

C'est pourquoi une décision de rançon devrait produire un dossier de contrôle. Ce dossier devrait identifier qui avait l'autorité d'approuver le paiement, quelles alternatives étaient disponibles, quels systèmes étaient déjà restaurés, quelles preuves de risque lié aux données restaient non résolues, quelle consultation des forces de l'ordre a eu lieu, quel filtrage des sanctions a été effectué, quel rôle l'assureur a joué, quels intérêts des clients ou des fournisseurs ont été pris en compte, et quelle assurance post-paiement a été réalisée. Le public n'a pas besoin de chaque détail sensible.

Il a besoin de suffisamment d'éléments pour distinguer une véritable nécessité d'urgence de la gestion de la réputation, de l'achat d'incertitude ou d'une mauvaise préparation.

Les agences publiques sont devenues partie prenante de la continuité

JBS a remercié à plusieurs reprises la Maison Blanche, l'USDA, le FBI et les gouvernements étrangers. Le récit public de l'administration, rapporté à l'époque par Reuters et republié par Business Insurance, indiquait que JBS avait informé le gouvernement américain qu'elle était victime d'un rançongiciel, que l'USDA s'était entretenue plusieurs fois avec la direction de l'entreprise, que le FBI enquêtait et que les États-Unis dialoguaient avec la Russie au sujet de l'organisation criminelle décrite comme probablement basée en Russie. (Article de Business Insurance / Reuters) The Guardian a également rapporté le récit de la Maison Blanche et l'inquiétude que les pannes dans les grandes usines de viande puissent affecter l'approvisionnement pendant une période sensible. (Rapport du Guardian)

La continuité du secteur public avait deux missions. La première était technique et d'enquête: soutenir la victime, attribuer l'attaque si possible, recueillir des preuves et réduire les risques pour d'autres infrastructures critiques. La seconde était orientée vers le marché: déterminer si une courte interruption chez un grand transformateur pouvait créer des problèmes d'approvisionnement ou de prix et si d'autres transformateurs pouvaient absorber une capacité supplémentaire.

Une agence alimentaire ne peut pas corriger un réseau privé, mais elle peut surveiller le débit, communiquer avec les acteurs du secteur et aider à éviter une panique évitable.

Le rôle de l'USDA est particulièrement important car l'information publique sur les marchés fait partie de la surface de contrôle du système alimentaire. Les systèmes d'information sur les marchés et les rapports sur le bétail de l'USDA aident les producteurs, les acheteurs et les décideurs à comprendre les conditions actuelles. (Informations de marché du Service de commercialisation agricole de l'USDA) Lors d'un incident affectant un grand transformateur, la capacité du secteur public à observer les taux d'abattage, les prix de gros, les mouvements de bétail et les conditions de la chaîne du froid devient une fonction stabilisatrice.

Le contexte de planification est antérieur à JBS mais explique pourquoi un incident privé peut devenir une tâche de coordination publique. Le plan sectoriel fédéral pour l'alimentation et l'agriculture décrit la résilience comme un effort public-privé partagé couvrant la production, la transformation, la distribution et les services connexes. (Plan spécifique au secteur de l'alimentation et de l'agriculture) Le matériel de défense alimentaire de la FDA traite également la sécurité du système alimentaire comme une fonction de préparation coordonnée plutôt que comme une affaire relevant d'une seule entreprise. (Activités du secteur alimentaire et agricole de la FDA) La taxonomie plus large des infrastructures critiques de la CISA place l'alimentation et l'agriculture aux côtés d'autres secteurs où une perturbation opérationnelle privée peut entraîner des conséquences publiques. (Secteurs d'infrastructures critiques de la CISA)

Cela ne rend pas le gouvernement responsable des contrôles internes de JBS. Cela signifie qu'un cyberincident dans le secteur privé peut déclencher un travail de continuité du secteur public même lorsque l'entreprise reste le principal opérateur. L'affaire se situe donc dans un espace entre une interruption d'activité ordinaire et la résilience nationale. La chaîne d'approvisionnement alimentaire est principalement privée. Ses modes de défaillance peuvent néanmoins devenir des problèmes publics.

L'impact sur le marché a été réel mais limité dans les données publiques

Les reportages ont décrit des arrêts temporaires dans les usines de JBS aux États-Unis, au Canada et en Australie, et les analystes ont surveillé de près les niveaux d'abattage de bovins et de porcs. L'article de Reuters republié par Business Insurance citait des estimations de l'USDA montrant un abattage de bovins et de porcs plus faible le 1er juin par rapport à la semaine précédente et à l'année précédente. Ces chiffres sont un contexte utile, mais ils ne doivent pas être interprétés de manière excessive comme une perte nette imputable uniquement à JBS.

Les estimations d'abattage varient pour des raisons qui incluent les jours fériés, la main-d'œuvre, les calendriers des usines, les schémas saisonniers et les conditions d'approvisionnement non liées.

La déclaration de JBS du 3 juin offrait l'affirmation de production d'entreprise la plus nette: la perte de nourriture produite pendant l'attaque était limitée à moins d'une journée de production, et la production perdue dans l'ensemble de l'activité mondiale serait entièrement récupérée d'ici la fin de la semaine suivante. C'est une affirmation forte. C'est aussi une estimation de l'entreprise.

Les données publiques ne comportent pas de vérification indépendante de cette mesure de perte de production, et ne nous disent pas si la production de récupération a nécessité des heures supplémentaires, des changements de lignes, le rééchelonnement des fournisseurs, une modification de la gamme de produits, des exportations retardées ou le remplacement de clients.

Le bilan australien montre la dimension internationale. Le rapport annuel sur les cybermenaces 2020-2021 du Centre australien de cybersécurité citait les attaques par rançongiciel contre une entreprise de médias australienne et JBS Foods comme preuve que les criminels s'orientaient vers des organisations de premier plan et des rançons plus élevées. (Rapport annuel sur les cybermenaces 2020-2021 de l'ACSC) Cette présentation est utile car elle situe l'événement JBS dans une économie mondiale du rançongiciel, et pas seulement dans une histoire d'approvisionnement en viande aux États-Unis.

La conclusion limitée est que l'interruption de JBS a été suffisamment grave pour mobiliser plusieurs gouvernements, affecter les opérations des usines dans plusieurs pays et déclencher une surveillance du marché public. Elle a également été suffisamment courte, selon JBS, pour que la perte de production mondiale soit limitée et récupérable. Les preuves ne soutiennent pas les affirmations dramatiques selon lesquelles l'approvisionnement alimentaire s'est effondré.

Elles soutiennent l'affirmation plus rigoureuse selon laquelle le rançongiciel a brièvement exposé comment une transformation alimentaire concentrée et dépendante du numérique peut devenir un problème de continuité avant que la pénurie physique ne soit visible pour les consommateurs.

Les travailleurs ont porté la première incertitude opérationnelle

L'analyse de la continuité traite souvent les travailleurs comme une catégorie de coûts. Dans ce cas, ils étaient aussi la première couche de repli.

Les employés des usines devaient savoir si les quarts de travail étaient maintenus, si la ligne pouvait fonctionner en toute sécurité, si les systèmes de pointage et de paie étaient affectés, si les étapes d'assainissement et d'inspection étaient prêtes, si les superviseurs pouvaient communiquer les changements, et si les opérations retardées modifieraient les heures ou la rémunération. Les déclarations publiques de JBS ont remercié les membres des équipes et ont décrit les équipes opérationnelles comme essentielles à la reprise. Elles n'ont pas fourni de détails au niveau des travailleurs.

L'absence de détails est importante car la main-d'œuvre absorbe la différence entre « les systèmes sont remis en ligne » et « le travail normal a repris ». Une usine peut redémarrer par phases. Une équipe peut être renvoyée chez elle, rappelée, réaffectée au nettoyage, priée de faire des heures supplémentaires, ou mise en attente pendant que les horaires du bétail et de l'équipement sont réinitialisés. Certains travailleurs peuvent perdre des heures; d'autres peuvent connaître un surcroît de travail.

Certains peuvent être confrontés à une incertitude concernant la sécurité si les systèmes numériques de maintenance, de planification ou de communication sont altérés.

Il ne s'agit pas d'affirmer que JBS a mal géré sa main-d'œuvre. Les données publiques ne soutiennent pas cette conclusion. Il s'agit d'affirmer qu'un cyberincident dans l'approvisionnement alimentaire ne peut pas être évalué uniquement en fonction du volume de production. La continuité des travailleurs fait partie de la continuité alimentaire.

Si un opérateur déclare que la production perdue a été récupérée la semaine suivante, un dossier de responsabilité complet montrerait également comment les coûts de main-d'œuvre, les heures supplémentaires, les quarts de travail manqués, les contrôles de sécurité et les communications avec les travailleurs ont été gérés.

C'est là que la continuité des PME entre en jeu. JBS n'est pas une petite entreprise, mais de nombreux travailleurs, sous-traitants, transporteurs, prestataires de services locaux et exploitations agricoles autour d'une usine opèrent avec des marges plus réduites qu'un transformateur multinational. Une incertitude de planification de deux jours qui est gérable pour la société peut être importante pour un petit entrepreneur de camionnage, un prestataire de maintenance local ou un producteur qui a des animaux prêts pour l'enlèvement.

L'horloge de reprise de la grande entreprise et l'horloge de liquidité de la petite contrepartie ne sont pas les mêmes.

Les producteurs et le bétail ont rendu l'arrêt sensible au temps

Dans une panne de centre de données, la charge de travail peut parfois attendre. Dans une chaîne d'approvisionnement en viande, les animaux continuent de grandir et nécessitent des soins. Les coûts d'alimentation continuent. L'espace de détention est limité. Les contraintes de bien-être et de qualité créent une pression. Un redémarrage d'usine après une courte interruption peut néanmoins laisser les producteurs et les transporteurs avec des problèmes de rééchelonnement qui n'apparaissent jamais dans le chiffre de perte de production phare du transformateur.

La déclaration du 1er juin de JBS reconnaissait les producteurs comme un groupe de parties prenantes. C'était la bonne catégorie. Les producteurs ne sont pas des fournisseurs ordinaires dans ce contexte; ce sont des opérateurs en amont gérant un inventaire vivant. L'arrêt d'un transformateur peut modifier le moment où les animaux se déplacent, la durée pendant laquelle ils sont nourris, les contrats qui sont honorés et les usines alternatives disponibles. Dans un marché concentré, la capacité alternative peut être limitée ou géographiquement coûteuse.

C'est aussi pourquoi les agences publiques surveillaient les problèmes d'approvisionnement et de prix. La question n'était pas seulement de savoir si les consommateurs verraient des rayons vides. Il s'agissait de savoir si un goulot d'étranglement temporaire de la transformation allait repousser les coûts et l'incertitude en amont vers les agriculteurs et les éleveurs avant que les effets en aval n'apparaissent dans le commerce de détail.

Un dossier de continuité solide montrerait comment les producteurs ont été informés, comment les livraisons ont été priorisées, comment les animaux déjà en transit ont été traités, comment les contrats ont pris en compte les retards, et si certains petits producteurs ont subi un préjudice disproportionné.

Les données publiques ne quantifient pas ces effets sur les producteurs. Cette incertitude ne doit pas être comblée par des totaux inventés. Elle doit être préservée comme une lacune dans le dossier de responsabilité. JBS a peut-être bien géré de nombreux problèmes de producteurs. Les preuves publiques disponibles ne permettent tout simplement pas à des observateurs extérieurs de vérifier la répartition.

La segmentation est la question de contrôle cachée

JBS a déclaré que l'attaque avait affecté certains serveurs soutenant les systèmes informatiques nord-américains et australiens. Elle a également déclaré que les criminels n'avaient pas accédé aux systèmes centraux et que l'entreprise avait arrêté les systèmes pour isoler l'intrusion et préserver les systèmes centraux. Ces déclarations pointent directement vers la segmentation, mais elles n'en révèlent pas assez pour l'évaluer.

La segmentation dans ce contexte comporte plusieurs couches. Il y a la segmentation réseau entre l'informatique d'entreprise, les opérations des usines, les systèmes de sécurité, la logistique, les finances et les sauvegardes. Il y a la segmentation des identités entre les utilisateurs ordinaires, les administrateurs, les comptes de service et le support tiers. Il y a la segmentation des applications entre la gestion des commandes, la planification des usines, les systèmes de la chaîne du froid, la documentation d'exportation, la paie et les portails clients. Il y a la segmentation géographique entre les pays et les unités commerciales.

Il y a la segmentation des sauvegardes entre l'infrastructure en direct et les copies de reprise.

Le fait que les opérations au Mexique et au Royaume-Uni n'aient pas été touchées, selon la déclaration du 1er juin de JBS, suggère que l'incident ne s'est pas propagé uniformément dans toutes les zones géographiques. Le fait que les systèmes nord-américains et australiens aient été affectés suggère des services partagés ou des décisions de réponse communes dans ces régions. Le fait que les sauvegardes n'aient pas été affectées suggère une certaine séparation entre l'infrastructure de production et de reprise. Rien de tout cela ne prouve une architecture idéale.

Le test de responsabilité pertinent n'est pas de savoir si l'attaquant a atteint un serveur. Il s'agit de savoir si la compromission d'un plan de gestion, d'un domaine d'identité, d'un service de fichiers, d'un chemin d'accès à distance ou d'une application métier pouvait forcer un arrêt généralisé d'usines qui autrement pourraient fonctionner localement.

Un dossier postincident mature cartographierait les fonctions qui étaient indisponibles parce qu'elles étaient compromises, celles qui étaient indisponibles parce qu'elles étaient intentionnellement isolées, celles qui ont continué manuellement et celles qui étaient opérationnelles de manière indépendante.

Sans cette cartographie, le public peut savoir que l'incident a été rapidement confiné mais ne peut pas savoir si le confinement dépendait d'une segmentation solide, de la chance, d'un paiement rapide, d'un accès limité de l'attaquant, d'une reprise planifiée à l'avance, ou d'une combinaison de ces facteurs.

Les sauvegardes étaient nécessaires mais pas une réponse complète pour la continuité

JBS a souligné à plusieurs reprises l'utilisation de serveurs de sauvegarde et de sauvegardes chiffrées. C'était raisonnable. Dans la défense contre les rançongiciels, des sauvegardes protégées et testées font souvent la différence entre une restauration maîtrisée et une dépendance à l'extorsion. Les directives de la CISA et du FBI orientent systématiquement les organisations vers des sauvegardes hors ligne ou autrement protégées, des tests de restauration, une planification de la réponse aux incidents et une administration à moindre privilège. (Guide de sécurité du FBI sur les rançongiciels)

Mais les sauvegardes ne répondent qu'à une partie de la question de l'approvisionnement alimentaire. Une sauvegarde peut restaurer les données et les applications. Elle ne restaure pas automatiquement la confiance que l'environnement est propre. Elle ne décide pas quelle usine redémarre en premier. Elle ne re-séquence pas les livraisons de bétail ou de porcs. Elle ne préserve pas la confiance des clients si le statut des commandes n'est pas clair. Elle ne compense pas les travailleurs pour les heures perdues.

Elle ne dit pas aux régulateurs ou aux agences publiques si les mouvements de prix reflètent une cyberperturbation ou la volatilité ordinaire du marché.

Le cas de JBS illustre la distinction. JBS a déclaré que les sauvegardes avaient soutenu une reprise rapide, mais l'entreprise a tout de même payé 11 millions de dollars après que la plupart des installations étaient opérationnelles. Cela signifie que les sauvegardes étaient importantes mais pas, de l'avis de la direction, suffisantes pour éliminer le risque résiduel. Le paiement a pu être motivé par des craintes liées aux données, l'assurance d'un déchiffreur, des promesses de l'acteur de la menace, des pressions commerciales, des conseils juridiques, ou une combinaison de ces facteurs. Les données publiques ne le disent pas.

La leçon pour les autres opérateurs alimentaires est que les tests de sauvegarde devraient inclure des tests de processus. Une usine peut-elle fonctionner pendant un quart si la planification centrale est indisponible? Les expéditions peuvent-elles être libérées sur la base d'une copie locale fiable? Les dossiers d'inspection, d'assainissement, de maintenance et de qualité peuvent-ils être saisis hors ligne et rapprochés? Les producteurs et les transporteurs peuvent-ils recevoir des mises à jour de statut authentifiées lorsque le courrier électronique ou les portails habituels sont en panne?

La paie et le pointage peuvent-ils être reconstitués? Ce sont des tests de continuité alimentaire, pas des tests informatiques génériques.

L'assurance sur les données est restée une affirmation contrôlée par l'entreprise

JBS a déclaré qu'elle n'avait pas connaissance de preuves que des données de clients, de fournisseurs ou d'employés aient été compromises ou utilisées à mauvais escient, et a indiqué plus tard que les résultats préliminaires de l'enquête confirmaient qu'aucune donnée de l'entreprise, des clients ou des employés n'avait été compromise. C'est une déclaration importante car les groupes de rançongiciels combinent souvent le chiffrement avec le vol de données.

Elle reste toutefois limitée. Les données publiques ne comprennent pas la méthode d'investigation, les journaux examinés, la fenêtre temporelle, les systèmes couverts, la définition de « compromis », ni si des données ont été préparées mais pas exfiltrées. Elle ne comprend pas non plus d'évaluation indépendante ultérieure. La déclaration de JBS du 9 juin elle-même indiquait que les investigations étaient en cours et qu'aucune détermination finale n'avait été faite. Cette prudence devrait accompagner chaque récit de l'affaire.

L'assurance sur les données est aussi importante pour les fournisseurs et les employés que pour les clients. Un transformateur de viande peut détenir des informations de paie, des dossiers de santé et de sécurité, des coordonnées bancaires des fournisseurs, des contrats de producteurs, des prix clients, des documents d'exportation et des dossiers logistiques. Si une entreprise déclare qu'aucune de ces données n'a été compromise, les parties concernées peuvent être rassurées. Si cette conclusion est préliminaire, elles peuvent encore avoir besoin de surveiller le risque. L'article public ne peut pas combler cette lacune.

Il ne peut que maintenir la distinction claire.

Le statut d'infrastructure critique n'efface pas le contrôle privé

L'infrastructure critique de l'alimentation et de l'agriculture est inhabituelle car une grande partie du contrôle opérationnel est entre des mains privées. Les agences publiques peuvent conseiller, coordonner et enquêter, mais elles ne dirigent pas les usines de JBS. Cela crée une tension récurrente de responsabilité. Lorsqu'un incident menace l'approvisionnement, le public a un intérêt. Lorsque le dossier de l'incident est technique et commercial, une grande partie des preuves reste privée.

L'événement JBS montre clairement cette tension. Les responsables fédéraux et étrangers ont été impliqués rapidement. Le FBI a attribué l'acteur. L'USDA a surveillé les problèmes potentiels d'approvisionnement et de prix. Les autorités australiennes ont considéré l'événement comme faisant partie d'une tendance grave de rançongiciels. Pourtant, les faits architecturaux clés sont restés à l'intérieur de l'entreprise et de ses intervenants.

Cela ne signifie pas que JBS devait publier des détails sensibles qui aideraient les attaquants. Cela signifie que les opérateurs d'infrastructures critiques devraient être en mesure de fournir une assurance structurée après la phase aiguë. Un rapport d'assurance utile n'a pas besoin de divulguer des adresses IP, des versions de logiciels ou des indicateurs d'investigation.

Il peut divulguer des catégories: fonctions affectées, décisions de confinement, performances des sauvegardes, capacité de continuité manuelle, communications avec les producteurs et les clients, conclusion sur le risque lié aux données, jalons de restauration, coordination avec les régulateurs et contrôles correctifs.

Un tel rapport bénéficierait au secteur. Les petits transformateurs et les entreprises agricoles tirent peu d'enseignements d'un titre disant « une grande entreprise se rétablit rapidement ». Ils apprennent davantage en sachant quelles dépendances ont créé des retards, quelles sauvegardes ont compté, quels canaux de communication ont tenu et quels processus manuels ont échoué sous la charge.

La politique sur les rançongiciels s'est heurtée au réalisme de la chaîne d'approvisionnement

Le FBI décourage les paiements de rançon. Cette position est solide en tant que politique systémique car les paiements financent les entreprises criminelles et ne garantissent pas la récupération ni la confidentialité. En même temps, un opérateur alimentaire confronté à l'incertitude concernant la production, les données et les préjudices aux clients peut considérer le paiement comme un outil de réduction des risques à court terme. Le conflit ne peut pas être ignoré.

La solution passe par les preuves. Si une entreprise d'infrastructure critique paie, elle devrait ensuite être en mesure d'expliquer les catégories de décision même si certains détails opérationnels restent confidentiels. La sécurité humaine était-elle en danger? La production était-elle encore matériellement arrêtée? Les sauvegardes étaient-elles indisponibles ou non fiables? Le vol de données a-t-il été confirmé indépendamment? Des types de données réglementées étaient-ils impliqués? Les forces de l'ordre ont-elles été informées avant le paiement? Les risques de sanctions ont-ils été évalués? Le paiement était-il assuré?

Les clients ou fournisseurs affectés ont-ils été informés de quelque chose d'important? Quels contrôles ont changé par la suite pour réduire le risque de récidive?

Dans le cas de JBS, les faits publics ne répondent qu'à certaines de ces questions. Les installations étaient pour la plupart opérationnelles au moment du paiement, selon JBS. JBS avait consulté des experts internes et externes. La communication gouvernementale était constante. L'enquête préliminaire n'a pas identifié de compromission de données. L'entreprise voulait atténuer les problèmes imprévus et garantir l'absence d'exfiltration de données. Il manque le modèle de risque sous-jacent, les alternatives envisagées et l'assurance post-paiement.

Il en résulte un cas que les deux parties du débat sur les rançons peuvent utiliser à mauvais escient. Les partisans du paiement peuvent dire que l'entreprise s'est rétablie et a protégé l'approvisionnement alimentaire. Les détracteurs du paiement peuvent dire qu'elle a récompensé les criminels après que la reprise était en grande partie terminée. Le point de vue le plus précis est plus étroit: un grand transformateur alimentaire a effectué un paiement important dans une incertitude résiduelle, après une restauration rapide, dans un cas où les preuves publiques ne montrent pas si le paiement a matériellement réduit le préjudice.

La concentration a transformé l'arrêt d'une entreprise en une anxiété sectorielle

L'incident a attiré une attention intense parce que JBS était grand. Une capacité de transformation concentrée transforme l'arrêt d'une seule entreprise en une question pour les producteurs, les clients et les surveillants gouvernementaux. Ce n'est pas une affirmation selon laquelle la concentration a causé l'intrusion. C'est une affirmation selon laquelle la concentration modifie le rayon de souffle de la perturbation opérationnelle.

Lorsqu'une petite usine est à l'arrêt, les producteurs et clients locaux peuvent encore subir des conséquences matérielles. Lorsqu'un très grand transformateur est à l'arrêt dans plusieurs régions, les acteurs du marché s'inquiètent du débit national ou transfrontalier. D'autres transformateurs peuvent être invités à absorber une capacité supplémentaire. Les agences publiques peuvent surveiller les effets sur les prix et l'approvisionnement. Les détaillants et les acheteurs de la restauration peuvent ajuster les commandes ou les stocks. Même si la perturbation est courte, l'incertitude se propage rapidement.

Cette incertitude est un préjudice en soi. Les producteurs peuvent retarder les mouvements. Les acheteurs peuvent rechercher des produits de substitution. Les concurrents peuvent modifier leurs calendriers. Les travailleurs peuvent recevoir des informations incomplètes. Les responsables gouvernementaux peuvent consacrer du temps à la coordination. Les consommateurs peuvent réagir aux gros titres avant que la pénurie réelle n'émerge. C'est pourquoi les déclarations publiques rapides de JBS étaient importantes.

Elles ont réduit l'incertitude en donnant des dates, des géographies, des attentes de reprise et des déclarations sur le risque lié aux données.

Elles n'ont pas éliminé toute incertitude. Elles n'ont pas publié de courbe complète de redémarrage. Elles n'ont pas quantifié le travail accompli par d'autres transformateurs ou agences publiques. Elles n'ont pas montré comment les petites contreparties étaient protégées des effets de calendrier et de trésorerie. La question centrale de responsabilité demeure: dans une chaîne d'approvisionnement concentrée, quel niveau de résilience l'opérateur dominant doit-il démontrer avant que le public puisse croire qu'un arrêt court a été véritablement limité?

À quoi ressembleraient de bonnes preuves après un cyberincident d'approvisionnement alimentaire

Le cas de JBS suggère une norme de preuve pratique pour les incidents futurs.

Premièrement, l'opérateur devrait divulguer une chronologie opérationnelle par fonction, et non seulement par statut d'entreprise. « Les systèmes sont remis en ligne » est moins utile que des statuts séparés pour la réception du bétail, l'abattage, la transformation, l'emballage, le stockage frigorifique, l'expédition, la gestion des commandes, les transactions fournisseurs, la paie et le support client.

Deuxièmement, l'opérateur devrait distinguer les systèmes compromis de ceux isolés par précaution. Cela aide les observateurs extérieurs à comprendre si le préjudice provient du contrôle de l'attaquant, du confinement défensif ou de la conception des dépendances.

Troisièmement, l'opérateur devrait rendre compte des performances des sauvegardes en termes opérationnels. Quelles fonctions ont été restaurées à partir de la sauvegarde? Quelle était la fraîcheur des données restaurées? Combien de temps la validation a-t-elle pris? Quels enregistrements manuels ont dû être rapprochés?

Quatrièmement, l'opérateur devrait publier les catégories de communication avec les parties prenantes. Les producteurs, les travailleurs, les transporteurs, les clients, les régulateurs et les agences publiques ont besoin de faits différents. Un seul communiqué de presse ne peut pas tous les contenir.

Cinquièmement, l'opérateur devrait expliquer la gouvernance de la décision de rançon à un niveau élevé. Cela signifie l'autorité, les alternatives, le contact avec les forces de l'ordre, le filtrage des sanctions, l'implication de l'assurance et les catégories d'assurance post-paiement.

Sixièmement, l'opérateur devrait identifier les inconnues résiduelles. Une entreprise confiante peut encore dire ce qu'elle ne sait pas. JBS l'a fait en partie en notant que les enquêtes étaient en cours. Une version plus riche définirait quelles conclusions étaient préliminaires et quand des déterminations finales étaient attendues.

Enfin, le secteur public devrait publier des leçons à l'échelle du secteur sans exposer les données sensibles des entreprises. Les directives de la CISA et du FBI fournissent déjà des contrôles généraux sur les rançongiciels; les agences alimentaires peuvent ajouter des attentes de continuité spécifiques au domaine impliquant le calendrier du bétail, l'inspection, la chaîne du froid, les données de marché, les communications avec les producteurs et le soutien aux petites contreparties.

La leçon n'est pas la panique. C'est la preuve.

L'incident du rançongiciel JBS n'a pas créé de pénurie publique prolongée de nourriture. C'est un fait important. Il devrait empêcher les récits exagérés. JBS a rétabli rapidement ses opérations et a publiquement crédité les sauvegardes, les équipes de réponse, le soutien gouvernemental et la priorisation de la production. L'entreprise a également payé une rançon importante, et les données publiques ne montrent pas si ce paiement était nécessaire pour protéger les clients ou simplement prudent du point de vue de la direction.

Ce cas doit donc être compris comme un problème de preuve. Un grand transformateur alimentaire peut se rétablir rapidement tout en laissant sans réponse des questions sur la segmentation, l'assurance sur les données, la gouvernance de la rançon, le fardeau des travailleurs, les retards pour les producteurs, l'allocation des clients et la résilience au niveau du secteur. Ces questions sans réponse ne sont pas des accusations. Elles sont la conséquence naturelle du traitement d'une fonction d'approvisionnement critique comme une affaire d'investigation privée une fois que le gros titre immédiat s'estompe.

Pour l'alimentation et l'agriculture, la responsabilité en matière de rançongiciels devrait suivre le contrôle pratique. Les attaquants contrôlaient le crime. JBS contrôlait l'architecture, le confinement, la préparation des sauvegardes, le redémarrage des usines, la gouvernance du paiement et la communication avec les parties prenantes. Les agences publiques contrôlaient la coordination, l'attribution, la surveillance du marché et l'orientation sectorielle. Les producteurs, les travailleurs et les petites contreparties contrôlaient souvent le moins mais absorbaient une incertitude significative.

C'est la leçon durable. La bonne réponse à une reprise rapide n'est pas de déclarer le système sûr. C'est de demander quelles preuves démontrent que la reprise était sûre, suffisamment complète, équitablement répartie et moins susceptible d'être à nouveau nécessaire.

Typographie

La typographie est l'art et la technique de l'arrangement des caractères pour rendre le langage écrit lisible, agréable à lire et visuellement attrayant. Elle implique la sélection de polices, de tailles de points, de longueurs de ligne, d'interlignage et d'espacement des lettres.

  • La typographie a été inventée avec l'invention des caractères mobiles par Johannes Gutenberg au XVe siècle.
  • Les éléments clés incluent le choix de la police, le crénage, le suivi et l'espacement des lignes.
  • Une bonne typographie améliore la lisibilité et transmet l'ambiance ou le ton dans le design.