Résumé

  • Registre public confirmé:Une attaque par ransomware débutant autour du 31 décembre 2019 a forcé Travelex à mettre ses systèmes hors ligne et a perturbé les services de change en janvier 2020. Des rapports publics ont identifié des revendications de Sodinokibi/REvil, une demande de rançon et un vol présumé de données, tandis que Travelex aurait déclaré ne disposer d'aucune preuve que des données clients aient été compromises. L'annonce ultérieure de restructuration de Travelex et les documents de l'administrateur PwC montrent que l'entreprise est entrée dans un important processus de restructuration de dette et d'administration en 2020 après une forte pression commerciale. (Rapport du Guardian de janvier 2020,Rapport du Guardian sur les factures papier,Annonce de restructuration de Travelex,Page de l'administrateur PwC)
  • Problème de dépendance:Travelex n'était pas seulement un bureau de change de détail. L'entreprise fournissait des services de change pour des banques partenaires et des marques de détail, de sorte que sa panne a également affecté des clients qui pensaient interagir avec leur banque ou supermarché. La communication des partenaires, la gestion des remboursements, les contournements en agence et l'économie des contacts clients sont devenus partie intégrante de l'incident. (Rapport de la BBC de janvier 2020,Rapport du Guardian sur la reprise des services)
  • Limite du correctif:Des rapports publics et des commentaires ultérieurs sur la sécurité ont lié l'attaque à l'exploitation d'une vulnérabilité non corrigée du VPN Pulse Secure, CVE-2019-11510. La CISA avait averti en janvier 2020 que des serveurs VPN Pulse Secure non corrigés étaient exploités et que des articles de presse décrivaient l'utilisation par des criminels du ransomware REvil/Sodinokibi contre ces systèmes. Cela soulève la question de la responsabilité de la gestion des vulnérabilités, mais le registre public ne contient toujours pas de rapport d'investigation publié par Travelex prouvant chaque étape de l'accès initial. (Avis de la CISA sur Pulse Secure,Enregistrement CVE-2019-11510)
  • Évaluation:Les acteurs criminels contrôlaient l'extorsion. Travelex contrôlait la gestion de l'exposition, la restauration, les solutions de repli des partenaires et la communication directe. Les banques et les partenaires de détail contrôlaient les promesses faites aux clients et les remboursements. Les créanciers et les administrateurs contrôlaient la voie de restructuration ultérieure. Les voyageurs, le personnel d'agence et les petites contreparties ont absorbé une grande partie de l'incertitude avant que la restructuration financière ne rende visible la défaillance de continuité sous forme corporative.

Le service de change semble mineur jusqu'à ce qu'il s'arrête

Le service de change peut ressembler à une commodité de surface: un site web de change, un kiosque, un comptoir d'aéroport, une carte prépayée, une page de commande aux couleurs d'une banque, un point de retrait en supermarché. Cette image sous-estime la dépendance. Travelex se trouvait derrière de nombreuses interfaces clients visibles. Lorsque ses systèmes ont été mis hors ligne, les clients n'ont pas perçu la panne comme un problème purement lié à Travelex. Certains l'ont vécue comme un problème bancaire, un problème de supermarché, un problème de remboursement, un problème d'agence, un problème de voyage ou un problème d'argent liquide au début d'un voyage.

C'est pourquoi l'incident du ransomware de 2020 a sa place dans une série sur le risque et la responsabilité. La question n'est pas seulement de savoir si Travelex avait des logiciels malveillants sur son réseau. La question est de savoir combien d'organisations avaient construit leurs promesses de change sur l'hypothèse que les systèmes d'un fournisseur spécialisé seraient disponibles, corrigés, restaurables et communicants en cas de crise.

L'incident a commencé à la lisière du calendrier. Le réveillon du Nouvel An 2019, Travelex a mis ses systèmes hors ligne après une cyberattaque. Début janvier, les sites web et services en ligne de l'entreprise restaient inaccessibles, et les rapports publics faisaient état de perturbations pour les agences et les partenaires. Le Guardian a rapporté que des attaquants se réclamant du groupe de ransomware Sodinokibi exigeaient un paiement et menaçaient de publier les données qu'ils disaient avoir dérobées. Travelex aurait déclaré n'avoir aucune preuve que des données personnelles ou clients aient été compromises à ce stade. (Rapport du Guardian du 7 janvier)

L'effet opérationnel a été brutal. Le personnel de certains sites aurait utilisé des factures papier pendant que les sites web restaient hors ligne. Les clients des banques et des partenaires de détail se heurtaient à des services de change indisponibles. Les marques partenaires ont dû expliquer une panne qu'elles n'avaient pas directement provoquée mais qu'elles exposaient à leurs propres clients. (Rapport du Guardian sur les factures papier,Rapport de la BBC)

Pour un voyageur, une panne de commande de devises n'est pas existentielle dans l'abstrait. Elle peut néanmoins être coûteuse et stressante sur le moment. Un client peut avoir besoin d'argent liquide pour une destination où l'acceptation des cartes est inégale, d'une carte prépayée pour un enfant, d'un remboursement avant le départ ou d'une preuve de commande passée par l'intermédiaire d'une banque. Pour les employés, la panne signifiait des outils dégradés, des processus manuels, des clients inquiets et des instructions peu claires. Pour les banques et détaillants partenaires, cela impliquait une charge d'appels, une exposition réputationnelle et des mesures de contournement. Pour les créanciers de Travelex, c'est devenu une pression supplémentaire sur une entreprise déjà endettée, puis frappée par l'effondrement des voyages causé par la COVID-19.

La chronologie mêlait réponse à incident et pression publique

La chronologie publique est brouillée car de nombreuses mises à jour officielles de Travelex de janvier 2020 ne peuvent plus facilement être considérées comme une archive unique et fiable. Le dossier durable le plus solide combine les rapports contemporains de sources réputées, l'alerte publique de la CISA sur la vulnérabilité, l'annonce de restructuration de Travelex en août et les documents de l'administrateur PwC.

Le 7 janvier 2020, le Guardian a rapporté que Travelex avait été victime d'un ransomware, que ses sites web étaient hors ligne, que les attaquants affirmaient avoir copié des données et que l'entreprise déclarait n'avoir aucune preuve de compromission de données personnelles ou clients. La BBC a rapporté la demande de rançon et la perturbation des services le même jour, identifiant l'incident comme un problème affectant Travelex et ses partenaires. (Rapport du Guardian du 7 janvier,Rapport de la BBC)

Le 8 janvier, le Guardian a décrit le personnel utilisant des factures papier alors que les sites web restaient hors ligne et a identifié les canaux bancaires et de détail concernés. Ce rapport est important car il montre le mode dégradé en pratique. Un repli manuel peut permettre de maintenir certaines transactions, mais il modifie également les taux d'erreur, le travail de rapprochement, les contrôles anti-fraude, les délais d'attente des clients et la charge de travail des employés. (Rapport du Guardian sur les factures papier)

Le 13 janvier, le Guardian a rapporté que certains services de Travelex avaient repris après l'attaque par ransomware, y compris une partie du service en magasin, bien que tous les systèmes ne soient pas revenus à la normale. Cette date est importante car elle montre que la reprise n'a pas été un simple basculement. Les services pouvaient reprendre de manière inégale: un canal rétabli, un autre en attente, un partenaire reconnecté, un autre gérant ses propres communications clients. (Rapport du Guardian sur la reprise des services)

Le 10 janvier, la CISA a publié un avis sur l'exploitation continue de la vulnérabilité du VPN Pulse Secure CVE-2019-11510. L'avis avertissait que les organisations devaient immédiatement corriger les systèmes affectés et notait des articles de presse indiquant que des cybercriminels ciblaient des serveurs VPN Pulse Secure non corrigés pour installer le ransomware REvil/Sodinokibi. (Avis de la CISA sur Pulse Secure) Cet avis n'est pas un rapport d'investigation de Travelex. Il reste central car il situe la vulnérabilité discutée publiquement dans la même fenêtre temporelle et le même écosystème de ransomware.

En août 2020, l'incident faisait partie d'un dossier plus large de restructuration financière. Travelex Financing Plc a annoncé l'achèvement d'une restructuration de dette, indiquant que l'endettement serait réduit de plus de 385 millions de livres à 160 millions de livres et que le nouveau groupe recevrait 84 millions de livres de nouvelles liquidités. L'annonce mettait l'accent sur l'effondrement des voyages dû à la COVID-19, mais elle intervenait après une année au cours de laquelle la cyberattaque avait déjà affaibli la disponibilité des services et la confiance. (Annonce de restructuration de Travelex)

La page de l'administrateur de PwC indique que Travelex Banknotes Limited est entrée en administration le 21 juillet 2020 et que plusieurs autres entités de Travelex sont entrées en administration le 6 août 2020 dans le cadre de la restructuration. Elle relate également la gestion ultérieure de ces entités pour les créanciers et le processus post-administration. (Page de l'administrateur PwC,PDF de l'annonce du premier jour de PwC)

La chronologie comporte donc deux niveaux. Le premier est la réponse à l'incident: systèmes hors ligne, solutions de contournement manuelles, perturbation des partenaires, pression présumée de la rançon et rétablissement par étapes. Le second est la continuité financière: une entreprise de change fortement perturbée entrant dans un processus de restructuration et d'administration la même année. Il serait imprudent d'affirmer que le ransomware a à lui seul causé la restructuration; l'effondrement des voyages dû à la COVID-19 a été un choc indépendant massif. Il serait tout aussi imprudent d'effacer l'incident du ransomware du dossier de continuité d'activité.

L'externalisation a transformé les marques partenaires en acteurs de la panne

La panne de Travelex a été une leçon de dépendance en marque blanche. Un client peut commander des devises sur le site d'une banque ou d'un supermarché et percevoir cette marque comme le prestataire de services responsable. Dans les coulisses, un fournisseur spécialisé en services de change peut fournir la tarification, le traitement des commandes, l'exécution, les stocks, le règlement et les flux de travail en agence ou de livraison. Lorsque le spécialiste échoue, la marque visible conserve la confiance du client.

Les comptes rendus du Guardian et de la BBC ont identifié des perturbations pour les clients de plusieurs canaux partenaires. Les détails variaient selon les partenaires, mais le schéma était cohérent: des clients qui n'avaient pas de relation de sécurité directe avec Travelex étaient affectés par la mise hors ligne des systèmes de Travelex. (Rapport de la BBC,Rapport du Guardian sur les factures papier)

Cela a fait de la panne un test pratique de la résilience opérationnelle externalisée. Les banques et les entreprises financières peuvent externaliser une fonction, mais elles n'externalisent pas la responsabilité envers les clients. La réglementation financière britannique moderne a par la suite rendu ce point explicite par le biais d'exigences de résilience opérationnelle, qui obligent les entreprises à identifier les services métier importants, à fixer des tolérances aux impacts et à gérer les dépendances vis-à-vis des tiers. Les documents de la FCA sur la résilience opérationnelle ne constituent pas une conclusion rétroactive concernant Travelex ou ses partenaires, mais ils capturent la leçon: l'entreprise en contact avec la clientèle doit comprendre si un service externalisé peut défaillir dans des limites acceptables. (Résilience opérationnelle de la FCA,FCA PS21/3)

L'incident Travelex a également exposé la faiblesse des pages d'état des partenaires et des scripts du service client lorsque le vrai problème se situe chez le prestataire. Une banque peut dire aux clients que les commandes de devises sont indisponibles, mais elle peut ne pas savoir si les systèmes du prestataire reviendront dans quelques heures, quelques jours ou quelques semaines. Un représentant du service client peut proposer des remboursements ou des alternatives, mais peut ne pas avoir accès aux détails des transactions si la plateforme du prestataire est hors ligne. Le partenaire peut être transparent sur les symptômes sans pouvoir prouver la cause ou le rétablissement.

Cette dépendance aurait dû être modélisée avant l'incident. Les contrats des partenaires auraient pu exiger des preuves de gestion des vulnérabilités, une réponse aux incidents testée, des durées maximales de panne, des procédures d'exécution manuelle, des avis de protection des données, des délais de communication des violations et une autorité de remboursement. Certains contrats ont peut-être été en ce sens, mais le dossier public ne présente pas de tableau de bord de continuité partenaire par partenaire. Le résultat visible a été un réseau de marques expliquant une perturbation causée par un fournisseur.

La question du correctif est étayée par des preuves mais reste limitée

L'affirmation technique la plus répandue concernant l'incident Travelex est que les attaquants ont exploité une vulnérabilité non corrigée du VPN Pulse Secure, CVE-2019-11510. L'enregistrement CVE décrit une faille grave de Pulse Connect Secure. L'avis de la CISA de janvier 2020 avertissait que des serveurs VPN Pulse Secure non corrigés étaient exploités et que des articles de presse décrivaient le déploiement de REvil/Sodinokibi contre ces systèmes. (Enregistrement CVE-2019-11510,Avis de la CISA sur Pulse Secure)

Ces preuves publiques étayent une question de responsabilité en matière de gestion des vulnérabilités. Elles ne remplacent pas, en elles-mêmes, une autopsie publiée par Travelex. Un compte rendu responsable devrait dire que les rapports publics et les commentaires de sécurité ont lié l'attaque à une vulnérabilité VPN non corrigée, et que la CISA a mis en garde contre la même catégorie d'exploitation à la même période. Il ne devrait pas prétendre connaître chaque identifiant, hôte, chemin de déplacement latéral ou décision de restauration à moins qu'un dossier d'investigation primaire ne l'indique.

La question du correctif reste cruciale. Une vulnérabilité sur un équipement périmétrique n'est pas un échec de maintenance mineur lorsque cet équipement sert de passerelle d'accès à distance aux systèmes d'entreprise. Si un correctif ou une atténuation est disponible et largement signalé, une entreprise doit contrôler l'inventaire des actifs, l'analyse de l'exposition, l'approbation des modifications d'urgence, les contrôles compensatoires, la réinitialisation des informations d'identification et l'examen médico-légal. Elle doit également savoir quels systèmes tiers et services gérés dépendent du produit vulnérable.

La leçon publique est moins "corriger plus vite" que "prouver l'exposition plus vite". Chez un fournisseur de services de change, un équipement d'accès à distance vulnérable n'est pas qu'un simple actif informatique. Il peut devenir la charnière entre l'exposition sur Internet et les systèmes de transaction, les services partenaires, les partages de fichiers, les magasins d'identité, les données clients et les retards de reprise. Le contrôle responsable couvre l'ensemble du cycle de gestion des vulnérabilités: savoir que l'actif existe, savoir qu'il est exposé, appliquer le correctif, valider le correctif, examiner les journaux à la recherche de compromissions, renouveler les informations d'identification et communiquer le risque aux partenaires.

Les guides du NCSC et de la CISA sur les ransomwares font la même observation en termes plus généraux. Une bonne préparation contre les ransomwares comprend l'application de correctifs, les contrôles d'accès, les sauvegardes, la restauration testée, la planification de la réponse aux incidents, la segmentation du réseau, la journalisation et la communication. (Guide du NCSC sur les ransomwares,Guide StopRansomware de la CISA,Guide du FBI sur les ransomwares) Ces mesures ne sont pas décoratives. Elles déterminent si une exploitation devient un événement contenu, une panne métier ou une défaillance de service en cascade.

Le mode dégradé manuel a fonctionné, mais seulement en partie

L'image qui est restée de l'incident Travelex n'était pas une demande de rançon. C'était du papier. Les rapports faisant état de personnel rédigeant des factures papier ont montré que l'entreprise conservait une certaine capacité à opérer en mode dégradé. C'est mieux qu'un arrêt total. C'est aussi la preuve que les systèmes numériques étaient suffisamment centraux pour que le mode dégradé devienne visible pour les clients. (Rapport du Guardian sur les factures papier)

Le mode dégradé manuel est souvent mal compris. Un formulaire papier peut conserver une transaction, mais il ne peut pas reproduire complètement une plateforme de change moderne. Il peut ne pas se connecter aux taux en direct, au filtrage des sanctions, aux stocks, au règlement, à l'état des commandes, aux vérifications d'identité des clients, au traitement des cartes, aux remboursements, au rapprochement en agence, à la surveillance de la fraude, aux rapports des partenaires ou aux systèmes financiers. Il peut également créer un arriéré qui doit être ressaisi ultérieurement, augmentant le risque d'erreur et la fatigue des employés.

Pour Travelex, le mode dégradé dépendait aussi du canal. Un comptoir d'aéroport pouvait peut-être vendre des devises manuellement. Une page de commande en ligne aux couleurs d'une banque ne le pouvait peut-être pas. Un centre d'appels partenaire pouvait émettre un remboursement sans honorer une commande. Le flux de travail d'une carte prépayée ou d'un transfert d'argent pouvait nécessiter des services numériques spécifiques. Une agence ne pouvait peut-être continuer que pour des produits limités. La reprise s'est donc faite par canaux, et non dans un état global unique.

La bonne question de responsabilité est de savoir si le mode dégradé a été conçu pour la chaîne de dépendance réelle. Les banques partenaires disposaient-elles d'un manuel testé? Le personnel de Travelex savait-il quand utiliser des formulaires papier et comment les rapprocher? Les contrôles anti-fraude ont-ils été adaptés? Les clients ont-ils été informés des produits disponibles et de ceux qui ne l'étaient pas? Les remboursements ont-ils été délégués au partenaire visible ou conservés par Travelex? Les petites agences de voyages, les comptoirs d'aéroport et les partenaires locaux ont-ils reçu la même clarté que les grandes banques?

Les rapports publics ne fournissent pas de réponses complètes. Ils montrent que le travail manuel a eu lieu et que les services ont repris par étapes. Ils ne montrent pas de plan de continuité d'activité testé, de données sur les files d'attente des clients, les volumes de remboursements, les réclamations des partenaires, les erreurs de rapprochement ou les heures supplémentaires des employés. Cette absence est un schéma récurrent dans les pannes de services externalisés: le public voit la panne et la remise en service, mais pas le coût du fonctionnement entre les deux.

Des produits différents ont créé des préjudices différents

L'expression "argent de voyage" cache plusieurs produits avec des modes de défaillance différents. L'argent liquide commandé pour un retrait en agence n'est pas le même que celui commandé pour une livraison à domicile. Une carte de voyage prépayée n'est pas la même chose qu'un échange au comptoir. Une commande de billets en gros pour une entreprise n'est pas la même chose qu'un remboursement à un consommateur. Une commande en ligne aux couleurs d'un partenaire n'est pas la même chose qu'une transaction directe en agence Travelex. Un fournisseur résilient doit savoir lesquels de ces produits peuvent fonctionner manuellement, lesquels peuvent être mis en pause en toute sécurité, lesquels nécessitent un règlement en temps réel et lesquels causent le plus de préjudice aux clients s'ils échouent à l'approche d'une date de voyage.

L'argent liquide crée un préjudice de calendrier. Un voyageur peut être en mesure d'utiliser une carte à la place, mais pas toujours. Certains clients veulent de l'argent liquide parce qu'ils se rendent dans des destinations où l'acceptation des cartes est incertaine, parce qu'ils ont besoin de petites coupures immédiatement à l'arrivée, parce qu'ils voyagent avec des personnes à charge, ou parce qu'ils se méfient des frais des distributeurs automatiques étrangers. Si une collecte d'argent liquide précommandée échoue la veille du départ, un simple remboursement ne restaure pas la promesse de service. Le client peut devoir trouver un autre fournisseur, payer un taux moins favorable, se rendre dans une autre agence ou partir sans la réserve de précaution souhaitée.

Les cartes et les commandes en ligne créent un préjudice différent. Une carte de voyage prépayée peut impliquer l'accès au compte, le chargement, les soldes, les codes PIN, les applications mobiles, le remplacement de carte et l'authentification du client. Une panne de site web peut empêcher un client de vérifier l'état ou de finaliser une commande même si l'argent liquide existe physiquement. Une banque partenaire peut avoir à répondre à des questions sur une commande qu'elle ne peut pas voir. Si les systèmes du fournisseur sont hors ligne, le partenaire visible peut devenir un routeur de réclamations sans disposer d'assez d'éléments pour résoudre le problème.

Les clients professionnels et les grandes entreprises créent une couche supplémentaire. Les banques, les compagnies de voyage, les aéroports et les partenaires de détail peuvent dépendre des fichiers de règlement, des prévisions de stocks, des allocations en agence et des rapports de rapprochement. Si ceux-ci sont retardés, l'incident devient un problème financier et opérationnel, et pas seulement un inconvénient de détail. Les petits partenaires peuvent avoir moins de poids pour exiger des mises à jour personnalisées immédiates, mais ils font toujours face aux clients au comptoir.

Ces différences comptent pour la responsabilité car "les services ont repris" est une métrique de reprise trop large. Une ligne de produits peut revenir tandis qu'une autre reste altérée. Un partenaire peut rétablir les commandes tandis qu'un autre attend une certification ou l'apurement de l'arriéré. Un canal peut accepter de nouvelles transactions alors que les remboursements restent lents. Un bon rapport de continuité distinguerait ces états et expliquerait quels clients sont restés exposés après le premier titre annonçant la reprise.

Le repli des partenaires était un problème de conception de gouvernance

Le repli des partenaires doit être conçu avant une panne, car les décisions les plus difficiles sont prises avec des informations médiocres. Une banque qui dépend d'un fournisseur de services de change devrait savoir à l'avance ce qui se passe si la plateforme du fournisseur est hors ligne pendant un jour, trois jours ou deux semaines. Le plan devrait indiquer si la banque suspendra les nouvelles commandes, utilisera un autre fournisseur, remboursera automatiquement, dirigera les clients vers les agences, honorera les taux en vigueur, communiquera l'incertitude liée aux données ou prendra en charge les clients vulnérables sur le point de voyager.

L'incident Travelex a montré pourquoi cela ne peut pas être laissé à un langage de crise général. Un partenaire bancaire ne contrôle peut-être pas la réponse au ransomware du fournisseur, mais il contrôle son propre site web, les avis sur son application, les scripts d'agence, les directives du centre d'appels et l'autorité de remboursement. Il contrôle également la quantité d'informations qu'il divulgue sur la dépendance vis-à-vis du fournisseur. Si le client est entré par un service aux couleurs de la banque, le client peut raisonnablement s'attendre à ce que la banque assume la résolution, même lorsque la défaillance technique se situe chez Travelex.

Pour Travelex, le repli des partenaires exigeait une discipline différente. L'entreprise devait pouvoir fournir aux principaux partenaires des mises à jour cohérentes, un langage sur le risque lié aux données, des estimations de rétablissement par canal, la disponibilité des produits et des règles de traitement manuel. Elle devait également éviter de faire à un partenaire des promesses qui ne pourraient pas être tenues ailleurs. Dans un réseau en marque blanche, une information inégale devient un risque en soi, car les clients comparent les avis et en déduisent soit une dissimulation, soit une confusion.

C'est là que les petites contreparties peuvent être mises sous pression. Les grandes banques et les grands détaillants peuvent disposer de lignes d'escalade directes, d'équipes juridiques et de conditions de service négociées. Les petits points de vente, les agents de voyages ou les partenaires régionaux peuvent s'appuyer sur des mises à jour génériques ou des contacts locaux. Si l'attention du fournisseur se concentre sur les contreparties les plus importantes, les petites entreprises peuvent supporter une part disproportionnée d'incertitude, de colère des clients et de travail de rapprochement.

Les cadres de résilience opérationnelle ont par la suite formalisé une grande partie de cette réflexion, mais la leçon pratique était déjà visible en janvier 2020. L'externalisation d'un service client visible nécessite un script de panne partagé, des règles de remboursement partagées, des seuils de notification des données partagés, des déclencheurs d'escalade partagés et des procédures manuelles testées. Sinon, les premiers jours d'un incident de ransomware deviennent une expérience grandeur nature pour déterminer à qui appartient le client.

La qualité des preuves dépend de la reconnaissance de l'incertitude

Le dossier Travelex est utile précisément parce qu'il est imparfait. Il combine des articles de presse, des avertissements sur les vulnérabilités, des documents d'insolvabilité ultérieurs et des annonces de restructuration plutôt qu'un seul rapport d'investigation public. Cela signifie que l'article doit traiter les preuves par couches. La panne de service et le mode dégradé manuel sont fortement étayés par des rapports contemporains. L'administration et la restructuration sont étayées par les registres de Travelex et de PwC. La théorie de la vulnérabilité est étayée par des rapports publics et l'avis général de la CISA sur l'exploitation des serveurs VPN Pulse Secure, mais pas par une publication de Travelex décrivant la chaîne d'attaque.

Cette norme de preuve par couches protège les clients et les lecteurs de deux erreurs opposées. Une erreur est d'accepter les affirmations des attaquants comme des faits parce qu'elles étaient spectaculaires et spécifiques. Une autre est d'ignorer complètement les affirmations des attaquants parce qu'elles proviennent de criminels. La position intermédiaire responsable consiste à dire que des criminels ont prétendu avoir volé des données et exigé de l'argent, que Travelex aurait déclaré n'avoir aucune preuve de compromission de données clients, et que le public n'a pas reçu suffisamment de preuves médico-légales pour transformer ces déclarations en un compte rendu final complet.

La même norme s'applique à la reprise. Les rapports indiquant que les services ont commencé à reprendre ne prouvent pas une reprise opérationnelle complète. Une agence peut être ouverte alors que les commandes en ligne restent altérées. Un partenaire peut prendre de nouvelles commandes alors que les remboursements restent lents. Un système peut être restauré alors que les factures manuelles nécessitent encore un rapprochement. Pour les services externalisés, le public devrait demander des preuves de reprise par produit, par canal et par partenaire, et pas simplement une déclaration indiquant que l'entreprise est de nouveau en ligne.

Les attaquants ont exploité l'attention autant que les systèmes

L'économie du contact abusif dans l'incident Travelex était inhabituellement visible. Les attaquants n'ont pas seulement chiffré des systèmes. Ils ont utilisé la pression publique. Ils auraient contacté des journalistes, affirmé avoir volé des données, énoncé une demande de rançon et menacé de divulguer les informations. Cela a fait passer l'incident d'un problème de récupération privé à un environnement de négociation publique. (Rapport du Guardian du 7 janvier,Rapport de CyberScoop)

Cette tactique modifie l'économie du contact client. Chaque déclaration publique des attaquants peut augmenter les appels aux banques, les courriels à Travelex, les questions des régulateurs, les demandes des médias, l'anxiété des employés, les escalades des partenaires et les demandes de remboursement des clients. Même si les attaquants exagèrent, l'entreprise doit répondre. Si elle répond trop peu, la confiance s'érode. Si elle répond trop avant que l'analyse médico-légale ne soit terminée, elle pourrait devoir corriger le dossier par la suite. Les criminels exploitent cette incertitude.

Les ransomwares à double extorsion reposent sur cette pression. Les allégations de vol de données créent un risque pour la vie privée et la réputation avant même que les données ne soient vérifiées. Les clients entendent que les attaquants affirment détenir des données et veulent être rassurés immédiatement. Les partenaires veulent savoir s'ils doivent informer leurs propres clients. Les régulateurs veulent savoir si les seuils de déclaration obligatoires ont été atteints. Les employés veulent savoir si leurs dossiers sont concernés. Les attaquants tirent profit du fait que tous ces canaux de contact deviennent coûteux.

Travelex aurait déclaré n'avoir aucune preuve que les données clients avaient été compromises. C'était une assurance importante, mais ce n'était pas la même chose que de publier un rapport d'investigation indépendant. La norme de responsabilité consiste à distinguer "aucune preuve à ce moment-là" de "absence prouvée d'exposition des données". La première peut être vraie et énoncée de manière responsable pendant une enquête. La seconde nécessite des preuves que le public n'a pas reçues en totalité.

C'est là que les partenaires en contact avec la clientèle avaient leur propre responsabilité. Une banque ou un supermarché ne pouvait pas simplement répéter l'incertitude du fournisseur sans décider quoi faire pour ses propres clients. Il devait choisir de suspendre les commandes, d'offrir des remboursements, d'orienter les clients vers les agences, d'utiliser des fournisseurs alternatifs, de mettre en garde contre le phishing ou de fournir des mises à jour. Le partenaire n'était pas responsable de l'intrusion par ransomware, mais il contrôlait la couche de contact client qui déterminait à quel point l'incident devenait coûteux et déroutant pour les utilisateurs ordinaires.

La restructuration financière a rendu visible le problème de continuité

En août 2020, Travelex a annoncé l'achèvement d'une restructuration de dette qui a réduit l'endettement financier et fourni de nouvelles liquidités à un groupe restructuré. L'annonce indiquait que New Travelex serait considérablement désendetté et continuerait à collaborer avec les banques partenaires existantes. Elle décrivait également une vente pré-packagée en administration de certaines entités britanniques et un changement de direction. (Annonce de restructuration de Travelex)

La page de l'administrateur de PwC confirme les nominations à l'administration et le contexte de restructuration. Elle montre également la longue traîne des documents d'administration des créanciers, des avis, des rapports d'étape, des preuves de créances et des changements de dénomination des entités. (Page de l'administrateur PwC)

La restructuration ne doit pas être réduite à une affirmation de causalité cyber. La COVID-19 a dévasté les voyages internationaux en 2020, et les revenus des services de change dépendent des voyages. La structure de la dette et les conditions pandémiques ont été des moteurs majeurs. L'annonce de Travelex mettait l'accent sur la COVID-19 et la nécessité d'une structure de capital durable. L'incident du ransomware devrait plutôt être compris comme un choc opérationnel antérieur qui a épuisé la confiance, consommé des liquidités, perturbé les partenaires et montré que l'entreprise avait moins de résilience que ne l'exigeait son rôle de service.

Cette distinction est importante car la responsabilité peut être exagérée après une défaillance d'entreprise. Si une entreprise entre en administration des mois après un cyberincident, il est tentant de dire que le cyberincident a causé l'administration. Les preuves ne soutiennent pas cette ligne simple. La meilleure conclusion est que le ransomware a exposé et aggravé une faiblesse de continuité au sein d'une entreprise endettée et dépendante des voyages, qui a ensuite été confrontée à un effondrement de la demande dû à la pandémie.

Pour les employés et les créanciers, cette distinction peut sembler théorique. Ils ont vécu l'insécurité de l'emploi, les transferts d'entités, les processus de réclamation et l'incertitude commerciale. Les documents de PwC montrent la machinerie formelle de l'administration qui a suivi. Pour l'analyse des risques, la leçon est plus nette: la résilience numérique et la résilience financière sont liées. Une entreprise peut récupérer ses systèmes tout en manquant de liquidités, de confiance et de marge de manœuvre opérationnelle pour rétablir sa position commerciale.

Ce que les régulateurs et les partenaires auraient dû apprendre

Travelex a précédé la phase la plus forte de la mise en œuvre de la résilience opérationnelle au Royaume-Uni, mais l'événement se lit comme une étude de cas pour ces règles. Le service métier important n'était pas le "change" dans un sens vague. C'était la capacité pour les clients de multiples marques visibles de commander, collecter, recevoir, rembourser et gérer leur argent de voyage dans un délai acceptable. La dépendance envers les tiers n'était pas cachée aux spécialistes, mais elle l'était pour de nombreux clients.

Le cadre de résilience opérationnelle de la FCA demande aux entreprises d'identifier les services métier importants, de fixer des tolérances aux impacts et de tester leur capacité à rester dans ces tolérances lors de perturbations graves mais plausibles. (Résilience opérationnelle de la FCA) Pour les banques utilisant Travelex, le test devrait inclure le ransomware du fournisseur, l'incertitude sur les données du fournisseur, la panne du site web du fournisseur, la gestion manuelle des remboursements, les communications aux couleurs du partenaire et les fournisseurs de secours. Pour Travelex, le test devrait inclure la défaillance d'un contrôle de sécurité d'accès à distance, la perte des systèmes de transaction, les allégations d'extorsion de données, la charge de contact des partenaires et la restauration par étapes.

Le cadre de cybersécurité du NIST fournit une structure intersectorielle pour la même leçon. La gouvernance, l'identification, la protection, la détection, la réponse et la récupération apparaissent toutes dans l'histoire de Travelex. La gouvernance demande si le conseil d'administration et les dirigeants comprenaient l'exposition et la dépendance externalisée. L'identification demande si les actifs exposés à Internet et les services partenaires étaient inventoriés. La protection demande si les correctifs, l'authentification multifacteur et la segmentation étaient en place. La détection demande si l'exploitation a été découverte avant le ransomware. La réponse demande si les clients et les partenaires ont reçu des mises à jour claires. La récupération demande si les services sont revenus sans arriéré manuel inacceptable ou incertitude sur les données. (Cadre de cybersécurité du NIST)

La Banque d'Angleterre, la PRA et la FCA ont par la suite mis l'accent sur la résilience opérationnelle dans l'ensemble du secteur financier, y compris le risque lié aux tiers et les services métier importants. (Résilience opérationnelle de la Banque d'Angleterre,FCA PS21/3) Travelex montre pourquoi ce langage est important au-delà des activités bancaires de base. Un fournisseur spécialisé peut faire échouer un service apparemment périphérique pour de nombreuses marques en contact avec la clientèle simultanément.

Pour les PME et les petites contreparties, la leçon est plus difficile. Les grandes banques peuvent négocier des conditions de continuité détaillées. Les petites agences de voyages, les partenaires locaux ou les exploitants d'agences peuvent accepter des conditions standard et subir des perturbations concrètes. Un programme de gestion des risques qui ne protège que le plus grand partenaire laisse les petits utilisateurs avec un faible pouvoir de négociation et une mauvaise visibilité. C'est pourquoi les preuves de continuité de service devraient être suffisamment publiques pour soutenir toutes les contreparties concernées, et pas seulement les plus gros clients dans le cadre de briefings confidentiels.

Ce qui reste inconnu

Le dossier public comporte des lacunes majeures. Travelex n'a pas publié de rapport d'investigation complet établissant le chemin d'accès initial, la chronologie, le temps de présence des attaquants, les actifs affectés, la portée du chiffrement, la conclusion sur l'accès aux données, l'historique des négociations de rançon ou la séquence de restauration. Les rapports publics ont lié l'incident à Sodinokibi/REvil et à une vulnérabilité du VPN Pulse Secure, mais les preuves primaires publiques ne fournissent pas une chaîne d'attaque complète, de l'exposition sur Internet à la panne de l'entreprise.

Le dossier sur les données est également incomplet. Les attaquants auraient affirmé avoir copié des données. Travelex aurait déclaré n'avoir aucune preuve que des données clients avaient été compromises. Le dossier public ne fournit pas d'inventaire final indépendant des données, le nombre de personnes évaluées, les catégories de données examinées, la méthode médico-légale ou les décisions de notification. Cela ne signifie pas que des données ont certainement été volées. Cela signifie que le public ne peut pas vérifier l'assurance de manière indépendante.

Le dossier de continuité est également incomplet. Nous ne disposons pas d'une chronologie de la panne partenaire par partenaire, du montant total des remboursements, du nombre de plaintes des clients, du nombre de transactions manuelles, du taux d'erreur de rapprochement, de l'estimation des heures supplémentaires des employés, d'une carte des services au niveau des agences ou d'un plan de fournisseurs alternatifs. Nous ne savons pas quels partenaires disposaient de solutions de repli testées et lesquels ont improvisé. Nous ne savons pas combien de clients ont été servis manuellement ni combien de commandes ont été annulées.

Le dossier financier est plus clair mais reste limité. L'annonce de restructuration de Travelex en août et les documents de PwC montrent le chemin de restructuration et d'administration. Ils n'isolent pas le coût du ransomware de l'effondrement des revenus dû à la pandémie, du fardeau de la dette, des négociations avec les créanciers et des décisions de gestion. Tout article qui attribue l'administration uniquement au ransomware exagère. Tout article qui traite le ransomware comme accessoire sous-estime le dossier de continuité.

La responsabilité suit la promesse de service

L'incident Travelex est facile à raconter comme un échec de correctif, et le correctif est central. Si le récit public sur la vulnérabilité est correct, alors une faille d'accès à distance connue est devenue une voie d'entrée vers un fournisseur dont les systèmes soutenaient de nombreux services clients visibles. Mais la responsabilité ne s'est pas arrêtée au correctif. Elle s'est étendue à l'inventaire des actifs, au contrôle des modifications d'urgence, à la segmentation, à la réinitialisation des informations d'identification, à la restauration des sauvegardes, au mode dégradé manuel, à la notification des partenaires, au support client, au contrôle de la fraude, à l'autorité de remboursement et à la résilience financière au niveau du conseil d'administration.

Les acteurs criminels contrôlaient l'extorsion et les abus. Ils ont utilisé le ransomware, les allégations de vol de données et la pression médiatique pour augmenter le coût des retards. Travelex contrôlait l'environnement exposé, la réponse, la restauration, les messages aux partenaires qu'il permettait et les preuves qu'il a publiées ou non. Les banques et les partenaires de détail contrôlaient les promesses faites aux clients, les remboursements, les canaux alternatifs et les mises à jour. Les créanciers contrôlaient les négociations de restructuration qui décidaient quelles parties de l'entreprise avançaient et lesquelles restaient dans l'ancienne structure. Les régulateurs contrôlaient les normes ultérieures qui rendaient ces dépendances plus difficiles à ignorer.

La leçon durable de l'incident est que la résilience des services externalisés doit être mesurée à partir de la première transaction client échouée, et non de la déclaration finale de rétablissement du fournisseur. Un client de banque qui ne peut pas récupérer son argent de voyage ne se soucie pas que le fournisseur appelle cela un incident cybernétique interne. Un employé d'agence utilisant des factures papier ne se soucie pas que le nom du groupe de ransomware soit correctement orthographié. Un créancier ne se soucie pas que la panne soit classée comme informatique ou opérationnelle. Chaque acteur ressent la conséquence à travers la promesse de service sur laquelle il s'est appuyé.

Travelex fait donc partie du registre de responsabilité comme un cas où le ransomware a révélé l'économie de la dépendance. L'attaquant a exploité les systèmes et l'attention. Le fournisseur a lutté avec la restauration et la communication. Les partenaires ont découvert le poids opérationnel d'un fournisseur en marque blanche. Les employés et les clients ont supporté le travail manuel et l'incertitude. La restructuration ultérieure a montré que la confiance numérique, la liquidité et la continuité ne sont pas des sujets distincts. Dans les services de change, une panne cyber peut devenir une crise de contact client, un test de gouvernance des partenaires et un événement de résilience financière, le tout à la fois.