Résumé
- Fait public confirmé:Une attaque par ransomware ayant débuté autour du 31 décembre 2019 a contraint Travelex à mettre ses systèmes hors ligne et a perturbé les services de change en janvier 2020. Les rapports publics ont identifié les revendications du groupe Sodinokibi/REvil, une demande de rançon et un vol présumé de données, tandis que Travelex a déclaré n'avoir aucune preuve de compromission des données clients. L'annonce ultérieure de restructuration de Travelex et les documents des administrateurs de PwC montrent que l'entreprise a engagé une importante restructuration de dette et une procédure d'administration en 2020 suite à de fortes pressions commerciales. (Rapport du Guardian de janvier 2020,Rapport du Guardian sur les factures papier,Annonce de restructuration de Travelex,Page des administrateurs de PwC)
- Problème de dépendance:Travelex n'était pas seulement un bureau de change de détail. Il fournissait des services de voyage pour des banques partenaires et des marques de distribution, de sorte que sa panne a également affecté les clients qui pensaient interagir avec leur banque ou leur supermarché. La communication avec les partenaires, la gestion des remboursements, les solutions de contournement en agence et l'économie des contacts clients ont fait partie de l'incident. (Rapport de la BBC de janvier 2020,Rapport du Guardian sur la reprise des services)
- Limite du correctif:Les rapports publics et les commentaires de sécurité ultérieurs ont lié l'attaque à l'exploitation d'une vulnérabilité non corrigée du VPN Pulse Secure, CVE-2019-11510. La CISA avait averti en janvier 2020 que les serveurs VPN Pulse Secure non corrigés étaient exploités et que des articles de presse décrivaient des criminels utilisant le ransomware REvil/Sodinokibi contre ces systèmes. Cela soulève une question de responsabilité en matière de gestion des vulnérabilités, mais le dossier public manque toujours d'un rapport d'enquête publié par Travelex prouvant chaque étape de l'accès initial. (Avis CISA sur Pulse Secure,Enregistrement CVE-2019-11510)
- Évaluation:Les acteurs criminels contrôlaient l'extorsion. Travelex contrôlait la gestion de l'exposition, la restauration, les solutions de secours pour les partenaires et la communication directe. Les banques et les partenaires de distribution contrôlaient les promesses et les remboursements envers les clients. Les créanciers et les administrateurs contrôlaient le processus de restructuration ultérieur. Les voyageurs, le personnel en agence et les petites contreparties ont absorbé une grande partie de l'incertitude avant que la restructuration financière ne rende visible la défaillance de continuité sous forme corporative.
Les services de change semblent anodins jusqu'à ce qu'ils s'arrêtent
Les services de change peuvent ressembler à une simple couche de commodité: un site web de voyage, un kiosque, un comptoir d'aéroport, une carte prépayée, une page de commande aux couleurs d'une banque, un point de retrait en supermarché. Cette image sous-estime la dépendance. Travelex se trouvait derrière de nombreuses interfaces client visibles. Lorsque ses systèmes ont été mis hors ligne, les clients n'ont pas vécu la panne comme un problème purement lié à Travelex.
Certains l'ont vécue comme un problème bancaire, un problème de supermarché, un problème de remboursement, un problème d'agence, un problème de voyage ou un problème d'argent au début d'un séjour.
C'est pourquoi l'incident ransomware de 2020 a sa place dans une série sur les risques et la responsabilité. La question n'est pas seulement de savoir si Travelex avait des logiciels malveillants sur son réseau. La question est de savoir combien d'organisations avaient fondé leurs promesses de change sur l'hypothèse que les systèmes d'un fournisseur spécialisé seraient disponibles, corrigés, restaurables et communicatifs en période de crise.
L'incident a commencé à la limite du calendrier. Le soir du Nouvel An 2019, Travelex a mis ses systèmes hors ligne après une cyberattaque. Début janvier, les sites web et les services en ligne de l'entreprise sont restés indisponibles, et les rapports publics ont fait état de perturbations dans les agences et chez les partenaires. Le Guardian a rapporté que des attaquants se réclamant du groupe de ransomware Sodinokibi exigeaient un paiement et menaçaient de publier des données qu'ils disaient avoir dérobées. Travelex a déclaré qu'à ce moment-là, rien n'indiquait que des données personnelles ou clients aient été compromises. (Rapport du Guardian du 7 janvier)
L'effet opérationnel a été brutal. On a rapporté que dans certains endroits, le personnel utilisait des factures papier tandis que les sites web restaient hors ligne. Les clients des banques et des partenaires de distribution se sont heurtés à des services de change indisponibles. Les marques partenaires ont dû expliquer une panne qu'elles n'avaient pas directement causée mais qu'elles avaient exposée à leurs propres clients. (Rapport du Guardian sur les factures papier,Rapport de la BBC)
Pour un voyageur, une panne de commande de devises n'est pas existentielle dans l'abstrait. Elle peut néanmoins être coûteuse et stressante sur le moment. Un client peut avoir besoin d'argent liquide pour une destination où l'acceptation des cartes est inégale, d'une carte prépayée pour un enfant, d'un remboursement avant de partir, ou d'une preuve d'une commande passée par l'intermédiaire d'une banque. Pour les employés, la panne signifiait des outils dégradés, des processus manuels, des clients inquiets et des instructions floues.
Pour les banques et les détaillants partenaires, cela signifiait une charge accrue pour les centres d'appels, une exposition en termes de réputation et des solutions de contournement. Pour les créanciers de Travelex, c'est devenu une pression supplémentaire sur une entreprise déjà endettée, puis frappée par l'effondrement du voyage causé par la COVID-19.
La chronologie a mêlé réponse à incident et pression publique
La chronologie publique est brouillée car de nombreuses mises à jour officielles de Travelex sur l'incident de janvier 2020 ne sont plus faciles à considérer comme une archive unique faisant autorité. Le dossier le plus solide combine les reportages de sources réputées contemporains, l'alerte publique de la CISA sur la vulnérabilité, l'annonce de restructuration de Travelex en août et les documents des administrateurs de PwC.
Le 7 janvier 2020, le Guardian a rapporté que Travelex avait été touché par un ransomware, que ses sites web étaient hors ligne, que les attaquants prétendaient avoir copié des données et que l'entreprise déclarait n'avoir aucune preuve de compromission de données personnelles ou clients. La BBC a fait état de la demande de rançon et de la perturbation des services le même jour, identifiant l'incident comme un problème touchant Travelex et ses partenaires. (Rapport du Guardian du 7 janvier,Rapport de la BBC)
Le 8 janvier, le Guardian a décrit le personnel utilisant des factures papier alors que les sites web restaient hors ligne et a identifié les canaux bancaires et de distribution touchés. Ce rapport est important car il montre une dégradation du mode dégradé dans la pratique. Un mode manuel peut maintenir certaines transactions, mais il modifie également les taux d'erreur, le travail de rapprochement, les contrôles de fraude, les temps d'attente des clients et la charge de travail des employés. (Rapport du Guardian sur les factures papier)
Le 13 janvier, le Guardian a rapporté que certains services de Travelex avaient recommencé à fonctionner après l'attaque ransomware, y compris une partie du service en magasin, mais que tous les systèmes n'étaient pas revenus à la normale. Cette date est importante car elle montre que la reprise n'a pas été un simple basculement. Les services pouvaient reprendre de manière inégale: un canal restauré, un autre en attente, un partenaire reconnecté, un autre gérant ses propres communications clients. (Rapport du Guardian sur la reprise des services)
Le 10 janvier, la CISA a publié un avis sur l'exploitation continue de la vulnérabilité du VPN Pulse Secure CVE-2019-11510. L'avis avertissait que les organisations devaient immédiatement corriger les systèmes concernés et notait que des articles de presse décrivaient des cybercriminels ciblant les serveurs VPN Pulse Secure non corrigés pour installer le ransomware REvil/Sodinokibi. (Avis CISA sur Pulse Secure) Cet avis n'est pas un rapport d'enquête de Travelex. Il reste central car il situe la vulnérabilité discutée publiquement dans la même fenêtre temporelle et le même écosystème de ransomware.
En août 2020, l'incident était devenu partie intégrante d'un dossier de restructuration financière plus large. Travelex Financing Plc a annoncé l'achèvement d'une restructuration de sa dette, indiquant que l'endettement serait réduit de plus de 385 millions de livres sterling à 160 millions de livres sterling et que le nouveau groupe recevrait 84 millions de livres sterling de nouvelles liquidités. L'annonce a souligné l'effondrement du voyage dû à la COVID-19, mais elle est intervenue après une année au cours de laquelle la cyberattaque avait déjà affaibli la disponibilité des services et la confiance. (Annonce de restructuration de Travelex)
La page des administrateurs de PwC indique que Travelex Banknotes Limited a été placée sous administration le 21 juillet 2020 et que plusieurs autres entités de Travelex ont été placées sous administration le 6 août 2020 dans le cadre de la restructuration. Elle fait également état de la gestion ultérieure de ces entités pour les créanciers et du processus post-administration. (Page des administrateurs de PwC,PDF de l'annonce du premier jour de PwC)
La chronologie comporte donc deux niveaux. Le premier est la réponse à incident: systèmes hors ligne, solutions manuelles de contournement, perturbation des partenaires, pression présumée de la rançon et restauration par étapes. Le second est la continuité financière: une entreprise de change fortement perturbée entrant dans un processus de restructuration et d'administration la même année. Il serait imprudent d'affirmer que le ransomware a causé à lui seul la restructuration; l'effondrement du voyage dû à la COVID-19 a été un choc indépendant massif.
Il serait tout aussi imprudent d'effacer l'incident ransomware du dossier de continuité des activités.
L'externalisation a intégré les marques partenaires dans la panne
La panne de Travelex a été une leçon sur la dépendance aux services en marque blanche. Un client peut commander des devises sur le site web d'une banque ou d'un supermarché et percevoir cette marque comme le fournisseur de service responsable. En coulisses, un prestataire spécialisé en services de change peut fournir les prix, le traitement des commandes, l'exécution, les stocks, le règlement et les flux de travail en agence ou de livraison. Lorsque le spécialiste échoue, la marque visible reste dépositaire de la confiance des clients.
Les rapports du Guardian et de la BBC ont identifié des perturbations pour les clients de plusieurs canaux partenaires. Les détails variaient selon le partenaire, mais le schéma était cohérent: des clients qui n'avaient pas de relation de sécurité directe avec Travelex ont été affectés par la mise hors ligne des systèmes de Travelex. (Rapport de la BBC,Rapport du Guardian sur les factures papier)
Cela a fait de la panne un test pratique de la résilience opérationnelle externalisée. Les banques et les sociétés financières peuvent externaliser une fonction, mais elles n'externalisent pas la responsabilité envers les clients. La réglementation financière britannique moderne a ensuite explicité ce point à travers des exigences de résilience opérationnelle, qui imposent aux entreprises d'identifier les services métier importants, de fixer des tolérances aux impacts et de gérer les dépendances envers les tiers. Les documents de la FCA sur la résilience opérationnelle ne constituent pas une conclusion rétroactive concernant Travelex ou ses partenaires, mais ils résument la leçon: l'entreprise en contact avec le client doit comprendre si un service externalisé peut tomber en panne dans des limites tolérables. (Résilience opérationnelle de la FCA,FCA PS21/3)
L'incident Travelex a également exposé la faiblesse des pages d'état des partenaires et des scripts de service client lorsque le vrai problème se situe chez le fournisseur. Une banque peut dire à ses clients que les commandes de devises sont indisponibles, mais elle peut ne pas savoir si les systèmes du fournisseur reviendront dans quelques heures, quelques jours ou quelques semaines. Un représentant du service client peut proposer des remboursements ou des alternatives, mais peut ne pas avoir accès aux détails de la transaction si la plateforme du fournisseur est hors ligne.
Le partenaire peut être transparent sur les symptômes sans pouvoir prouver la cause ou la reprise.
Cette dépendance aurait dû être modélisée avant l'incident. Les contrats partenaires pourraient exiger une preuve de gestion des vulnérabilités, une réponse aux incidents testée, des périodes maximales de panne, des procédures manuelles d'exécution, des avis de protection des données, des délais de communication en cas de violation et une autorité de remboursement. Certains contrats l'ont peut-être fait, mais le dossier public ne montre pas de tableau de bord de continuité partenaire par partenaire. Le résultat visible a été un réseau de marques expliquant une perturbation causée par un fournisseur.
La question du correctif est étayée par des preuves mais reste limitée
L'affirmation technique la plus répétée concernant l'incident Travelex est que les attaquants ont exploité une vulnérabilité non corrigée du VPN Pulse Secure, CVE-2019-11510. Le dossier CVE décrit une faille sérieuse de Pulse Connect Secure. L'avis de la CISA de janvier 2020 avertissait que les serveurs VPN Pulse Secure non corrigés étaient exploités et que des articles de presse décrivaient le déploiement de REvil/Sodinokibi contre ces systèmes. (Enregistrement CVE-2019-11510,Avis CISA sur Pulse Secure)
Ces preuves publiques étayent une question de responsabilité en matière de gestion des vulnérabilités. Cela ne remplace pas, en soi, une analyse post-incident publiée par Travelex. Un compte rendu responsable devrait dire que les reportages publics et les commentaires de sécurité ont lié l'attaque à une vulnérabilité VPN non corrigée, et que la CISA a mis en garde contre le même type d'exploitation à la même période. Il ne devrait pas prétendre connaître chaque identifiant, hôte, chemin de déplacement latéral ou décision de restauration à moins qu'un dossier d'enquête primaire ne le précise.
La question du correctif reste cruciale. Une vulnérabilité sur un équipement périmétrique n'est pas une défaillance mineure de maintenance lorsque cet équipement assure l'accès à distance aux systèmes d'entreprise. Si un correctif ou une atténuation est disponible et fait l'objet d'avertissements répétés, une entreprise doit contrôler l'inventaire des actifs, l'analyse de l'exposition, l'approbation des changements d'urgence, les contrôles compensatoires, la réinitialisation des informations d'identification et l'examen médico-légal. Elle doit également savoir quels systèmes tiers et services gérés dépendent du produit vulnérable.
La leçon publique est moins « corrigez plus vite » que « prouvez l'exposition plus vite ». Chez un fournisseur de services de change, un équipement d'accès à distance vulnérable n'est pas seulement un actif informatique. Il peut devenir la charnière entre l'exposition internet et les systèmes de transaction, les services partenaires, les partages de fichiers, les magasins d'identifiants, les données clients et les retards de reprise.
Le contrôle responsable est la boucle complète de gestion des vulnérabilités: savoir que l'actif existe, savoir qu'il est exposé, appliquer le correctif, valider le correctif, examiner les journaux à la recherche de compromission, renouveler les informations d'identification et communiquer le risque aux partenaires.
Les guides sur les ransomwares du NCSC et de la CISA font le même constat en termes plus généraux. Une bonne préparation contre les ransomwares comprend les correctifs, les contrôles d'accès, les sauvegardes, la restauration testée, la planification de la réponse aux incidents, la segmentation du réseau, la journalisation et la communication. (Guide du NCSC sur les ransomwares,Guide StopRansomware de la CISA,Guide du FBI sur les ransomwares) Ces mesures ne sont pas accessoires. Elles déterminent si une exploitation devient un événement contenu, une panne opérationnelle ou une défaillance de service en cascade.
Le mode manuel a fonctionné, mais seulement en partie
L'image qui est restée de l'incident Travelex n'était pas une demande de rançon. C'était du papier. Les rapports faisant état de personnel remplissant des factures papier ont montré que l'entreprise conservait une certaine capacité à exercer son activité en mode dégradé. Cela vaut mieux qu'un arrêt total. C'est aussi la preuve que les systèmes numériques étaient suffisamment centraux pour que le mode dégradé devienne visible pour les clients. (Rapport du Guardian sur les factures papier)
Le mode manuel est souvent mal compris. Un formulaire papier peut préserver une transaction, mais il ne peut pas reproduire entièrement une plateforme de change moderne. Il peut ne pas être connecté aux taux en direct, au filtrage des sanctions, aux stocks, au règlement, à l'état des commandes, à la vérification de l'identité des clients, au traitement des cartes, aux remboursements, au rapprochement en agence, à la surveillance des fraudes, aux rapports des partenaires ou aux systèmes financiers. Il peut également créer un arriéré qui devra être ressaisi plus tard, augmentant ainsi le risque d'erreurs et la fatigue des employés.
Pour Travelex, le mode manuel dépendait aussi du canal. Un comptoir d'aéroport pouvait peut-être vendre des devises manuellement. Une page de commande en ligne aux couleurs d'une banque ne le pouvait peut-être pas. Un centre d'appels partenaire pouvait émettre un remboursement mais pas honorer une commande. Une carte prépayée ou un flux de transfert d'argent pouvait nécessiter des services numériques spécifiques. Une agence ne pouvait peut-être continuer que pour des produits limités. La reprise s'est donc faite par canaux, pas dans un état d'entreprise unique.
La bonne question de responsabilité est de savoir si le mode manuel a été conçu pour la chaîne de dépendance réelle. Les banques partenaires disposaient-elles d'un manuel opérationnel testé? Le personnel de Travelex savait-il quand utiliser les formulaires papier et comment les rapprocher? Les contrôles de fraude ont-ils été adaptés? Les clients ont-ils été informés des produits disponibles et de ceux qui ne l'étaient pas? Les remboursements ont-ils été délégués au partenaire visible ou conservés par Travelex?
Les petites agences de voyage, les comptoirs d'aéroport et les partenaires locaux ont-ils bénéficié de la même clarté que les grandes banques?
Les reportages publics ne fournissent pas de réponses complètes. Ils montrent que le travail manuel a eu lieu et que les services ont repris par étapes. Ils ne montrent pas de plan de continuité d'activité testé, de données sur les files d'attente des clients, les volumes de remboursement, les réclamations des partenaires, les erreurs de rapprochement ou les heures supplémentaires des employés. Cette absence est un schéma récurrent dans les pannes de services externalisés: le public voit la panne et le redémarrage, mais pas le coût du travail entre les deux.
Des produits différents ont créé des préjudices différents
L'expression « argent de voyage » cache plusieurs produits avec des modes de défaillance différents. L'argent liquide commandé pour un retrait en agence n'est pas la même chose que l'argent liquide commandé pour une livraison à domicile. Une carte de voyage prépayée n'est pas la même chose qu'un change au comptoir. Une commande de billets de banque en gros pour les entreprises n'est pas la même chose qu'un remboursement pour un consommateur. Une commande en ligne aux couleurs d'un partenaire n'est pas la même chose qu'une transaction directe en agence Travelex.
Un fournisseur résilient doit savoir lesquels de ces produits peuvent fonctionner manuellement, lesquels peuvent être mis en pause en toute sécurité, lesquels nécessitent un règlement en direct, et lesquels créent le plus grand préjudice pour le client s'ils échouent à l'approche d'une date de voyage.
L'argent liquide crée un préjudice temporel. Un voyageur peut être en mesure d'utiliser une carte à la place, mais pas toujours. Certains clients veulent de l'argent liquide parce qu'ils se rendent dans des destinations où l'acceptation des cartes est incertaine, parce qu'ils ont besoin de petites coupures immédiatement à l'arrivée, parce qu'ils voyagent avec des personnes à charge, ou parce qu'ils se méfient des frais des distributeurs automatiques étrangers. Si un retrait d'argent liquide précommandé échoue la veille du départ, un remboursement seul ne rétablit pas la promesse de service.
Le client peut devoir trouver un autre fournisseur, payer un taux moins avantageux, se rendre dans une autre agence ou partir sans la marge de sécurité souhaitée.
Les cartes et les commandes en ligne créent un préjudice différent. Une carte de voyage prépayée peut impliquer l'accès au compte, le chargement, les soldes, les codes PIN, les applications mobiles, le remplacement de carte et l'authentification du client. Une panne de site web peut empêcher un client de vérifier l'état ou de finaliser une commande même si l'argent liquide physique existe. Une banque partenaire peut devoir répondre à des questions sur une commande qu'elle ne peut pas voir.
Si les systèmes du fournisseur sont hors ligne, le partenaire visible peut devenir un simple relais de plaintes sans disposer des faits nécessaires pour résoudre le problème.
Les clients professionnels et les entreprises créent une autre couche. Les banques, les compagnies de voyage, les aéroports et les partenaires de distribution peuvent dépendre de fichiers de règlement, de prévisions de stocks, d'allocations d'agences et de rapports de rapprochement. Si ceux-ci sont retardés, l'incident devient un problème financier et opérationnel, pas seulement un inconvénient pour le commerce de détail. Les petits partenaires peuvent avoir moins de poids pour exiger des mises à jour personnalisées immédiates, mais ils sont quand même confrontés aux clients au comptoir.
Ces différences sont importantes pour la responsabilité car « les services ont repris » est une mesure de reprise trop large. Une gamme de produits peut revenir tandis qu'une autre reste défaillante. Un partenaire peut rétablir les commandes tandis qu'un autre attend une certification ou le nettoyage de l'arriéré. Un canal peut accepter de nouvelles transactions tandis que les remboursements restent lents. Un bon rapport de continuité séparerait ces états et expliquerait quels clients sont restés exposés après le premier titre annonçant une reprise publique.
Le mode manuel des partenaires était un problème de conception de gouvernance
Le mode manuel des partenaires devrait être conçu avant une panne, car les décisions les plus difficiles sont prises avec peu d'informations. Une banque qui dépend d'un fournisseur de services de change devrait savoir à l'avance ce qui se passe si la plateforme du fournisseur est hors ligne pendant un jour, trois jours ou deux semaines.
Le plan devrait indiquer si la banque suspendra les nouvelles commandes, utilisera un autre fournisseur, remboursera automatiquement, orientera les clients vers les agences, honorera les taux en vigueur, communiquera l'incertitude quant aux risques liés aux données, ou prendra des mesures prioritaires pour les clients vulnérables sur le point de voyager.
L'incident Travelex a montré pourquoi cela ne peut pas être laissé à un langage général de crise. Un partenaire bancaire ne contrôle peut-être pas la réponse du fournisseur au ransomware, mais il contrôle son propre site web, les notifications de son application, les scripts en agence, les consignes de son centre d'appels et son autorité en matière de remboursement. Il contrôle également la quantité d'informations qu'il divulgue sur sa dépendance envers le fournisseur.
Si le client est passé par un service aux couleurs de la banque, il peut raisonnablement s'attendre à ce que la banque assume la résolution, même lorsque la défaillance technique se situe chez Travelex.
Pour Travelex, le mode manuel des partenaires nécessitait une discipline différente. L'entreprise devait fournir aux principaux partenaires des mises à jour de statut cohérentes, un langage sur les risques liés aux données, des estimations de restauration spécifiques à chaque canal, la disponibilité des produits et des règles de traitement manuel. Elle devait également éviter de faire des promesses à un partenaire qui ne pourraient pas être tenues ailleurs. Dans un réseau en marque blanche, l'inégalité d'information devient un risque en soi, car les clients comparent les avis et en déduisent soit une dissimulation, soit une confusion.
C'est là que les petites contreparties peuvent être pénalisées. Les grandes banques et les détaillants peuvent disposer de lignes directes d'escalade, d'équipes juridiques et de conditions de service négociées. Les petits points de vente, les agents de voyage ou les partenaires régionaux peuvent dépendre de mises à jour génériques ou de contacts locaux. Si l'attention du fournisseur se concentre sur les plus grandes contreparties, les petites entreprises peuvent supporter une part disproportionnée d'incertitude, de colère des clients et de travail de rapprochement.
Les cadres de résilience opérationnelle ont ensuite formalisé une grande partie de cette réflexion, mais la leçon pratique était déjà visible en janvier 2020. L'externalisation d'un service client visible nécessite un script de panne partagé, des règles de remboursement partagées, des seuils de notification des données partagés, des déclencheurs d'escalade partagés et des procédures manuelles testées. Sinon, les premiers jours d'un incident ransomware deviennent une expérience grandeur nature pour savoir à qui appartient le client.
La qualité des preuves dépend de la reconnaissance de l'incertitude
Le dossier Travelex est utile précisément parce qu'il est imparfait. Il combine des articles de presse, des avertissements de vulnérabilité, des documents d'insolvabilité ultérieurs et des annonces de restructuration plutôt qu'un seul rapport d'enquête public. Cela signifie que l'article doit traiter les preuves par couches. Une panne de service et un mode manuel sont fortement étayés par des reportages contemporains. L'administration et la restructuration sont étayées par les documents de Travelex et de PwC.
La théorie de la vulnérabilité est étayée par des reportages publics et l'avis général de la CISA sur l'exploitation des serveurs VPN Pulse Secure, mais pas par une publication de Travelex décrivant la chaîne d'attaque.
Cette norme de preuves stratifiées protège les clients et les lecteurs de deux erreurs opposées. Une erreur consiste à accepter les affirmations des attaquants comme des faits parce qu'elles étaient dramatiques et spécifiques. Une autre erreur consiste à ignorer complètement les affirmations des attaquants parce qu'elles émanent de criminels.
Le juste milieu responsable consiste à dire que les criminels ont revendiqué un vol de données et exigé de l'argent, que Travelex a déclaré n'avoir aucune preuve de compromission des données clients, et que le public n'a pas reçu suffisamment de preuves médico-légales pour transformer l'une ou l'autre déclaration en un compte rendu final complet.
La même norme s'applique à la reprise. Les rapports indiquant que les services ont commencé à reprendre ne prouvent pas une reprise opérationnelle complète. Une agence peut être ouverte tandis que les commandes en ligne restent défaillantes. Un partenaire peut prendre de nouvelles commandes tandis que les remboursements restent lents. Un système peut être restauré tandis que les factures manuelles doivent encore être rapprochées. Pour les services externalisés, le public devrait demander des preuves de reprise par produit, canal et partenaire, et pas simplement une déclaration indiquant que l'entreprise est de nouveau en ligne.
Les attaquants ont exploité l'attention autant que les systèmes
L'économie des contacts abusifs de l'incident Travelex a été inhabituellement visible. Les attaquants n'ont pas simplement chiffré des systèmes. Ils ont utilisé la pression publique. Ils auraient contacté des journalistes, prétendu avoir volé des données, formulé une demande de rançon et menacé de divulguer des informations. Cela a fait passer l'incident d'un problème de reprise privée à un environnement de négociation publique. (Rapport du Guardian du 7 janvier,Rapport CyberScoop)
Cette tactique modifie l'économie des contacts clients. Chaque déclaration publique des attaquants peut augmenter les appels aux banques, les courriels à Travelex, les questions des régulateurs, les demandes des médias, l'anxiété des employés, les escalades des partenaires et les demandes de remboursement des clients. Même si les attaquants exagèrent, l'entreprise doit répondre. Si elle répond trop peu, la confiance s'érode. Si elle répond trop avant la fin de l'enquête, elle peut devoir rectifier le dossier par la suite. Les criminels exploitent cette incertitude.
Le ransomware à double extorsion repose sur cette pression. Les allégations de vol de données créent un risque pour la vie privée et la réputation avant même que les données ne soient vérifiées. Les clients entendent que les attaquants prétendent détenir des données et veulent une assurance immédiate. Les partenaires veulent savoir s'ils doivent informer leurs propres clients. Les régulateurs veulent savoir si les seuils de déclaration obligatoires ont été atteints. Les employés veulent savoir si leurs informations sont concernées. Les attaquants tirent profit du fait de rendre tous ces canaux de contact coûteux.
Travelex a déclaré n'avoir aucune preuve que les données des clients aient été compromises. C'était une assurance importante, mais ce n'était pas la même chose que la publication d'un rapport médico-légal indépendant. La norme responsable consiste à distinguer « aucune preuve à ce moment-là » de « aucune exposition de données prouvée ». La première peut être vraie et déclarée de manière responsable pendant une enquête. La seconde nécessite des preuves que le public n'a pas reçues dans leur intégralité.
C'est là que les partenaires en contact avec la clientèle avaient leur propre responsabilité. Une banque ou un supermarché ne pouvait pas simplement répéter l'incertitude du fournisseur sans décider quoi faire pour ses propres clients. Il devait choisir de suspendre les commandes, d'offrir des remboursements, d'orienter les clients vers les agences, d'utiliser des fournisseurs alternatifs, de mettre en garde contre l'hameçonnage ou de fournir des mises à jour de statut.
Le partenaire n'était pas responsable de l'intrusion par ransomware, mais il contrôlait la couche de contact client qui déterminait le coût et la confusion de l'incident pour les utilisateurs ordinaires.
La restructuration financière a rendu visible le problème de continuité
En août 2020, Travelex a annoncé l'achèvement d'une restructuration de sa dette qui a réduit l'endettement financier et fourni de nouvelles liquidités à un groupe restructuré. L'annonce indiquait que la nouvelle entité Travelex serait considérablement désendettée et continuerait à collaborer avec les banques partenaires existantes. Elle décrivait également une vente par administration pré-pack de certaines entités britanniques et un changement de direction. (Annonce de restructuration de Travelex)
La page des administrateurs de PwC confirme les nominations des administrateurs et le contexte de restructuration. Elle montre également la longue traîne des documents d'administration des créanciers, des avis, des rapports d'avancement, des preuves de créance et des changements de nom d'entité. (Page des administrateurs de PwC)
La restructuration ne doit pas être réduite à une affirmation de causalité cyber. La COVID-19 a dévasté les voyages internationaux en 2020, et les revenus du change dépendent des voyages. La structure de la dette et les conditions pandémiques ont été des facteurs majeurs. L'annonce de Travelex a mis l'accent sur la COVID-19 et la nécessité d'une structure de capital durable. L'incident ransomware doit plutôt être compris comme un choc opérationnel antérieur qui a érodé la confiance, consommé des liquidités, perturbé les partenaires et montré que l'entreprise avait moins de résilience que son rôle de service ne l'exigeait.
Cette distinction est importante car la responsabilité peut être exagérée après une défaillance d'entreprise. Si une entreprise est placée sous administration des mois après un cyberincident, il est tentant de dire que le cyberincident a causé l'administration. Les preuves ne soutiennent pas cette ligne simple. La meilleure conclusion est que le ransomware a exposé et aggravé une faiblesse de continuité au sein d'une entreprise endettée et dépendante des voyages, qui a ensuite été confrontée à un effondrement de la demande pandémique.
Pour les employés et les créanciers, la distinction peut sembler théorique. Ils ont vécu l'insécurité de l'emploi, les transferts d'entités, les processus de réclamation et l'incertitude commerciale. Les documents de PwC montrent l'appareil formel d'administration qui a suivi. Pour l'analyse des risques, la leçon est plus claire: la résilience numérique et la résilience financière sont liées. Une entreprise peut récupérer ses systèmes mais manquer encore des liquidités, de la confiance et de la marge de manœuvre opérationnelle nécessaires pour rétablir sa position commerciale.
Ce que les régulateurs et les partenaires auraient dû apprendre
L'incident Travelex est antérieur à la phase la plus forte de mise en œuvre de la résilience opérationnelle au Royaume-Uni, mais l'événement se lit comme une étude de cas pour ces règles. Le service métier important n'était pas le « change » dans un sens vague. C'était la capacité pour les clients de multiples marques visibles de commander, collecter, recevoir, rembourser et gérer leur argent de voyage dans un délai acceptable. La dépendance envers les tiers n'était pas cachée aux spécialistes, mais elle l'était pour de nombreux clients.
Le cadre de résilience opérationnelle de la FCA demande aux entreprises d'identifier les services métier importants, de fixer des tolérances aux impacts et de tester leur capacité à rester dans ces tolérances lors de perturbations graves mais plausibles. (Résilience opérationnelle de la FCA) Pour les banques utilisant Travelex, le test devrait inclure le ransomware du fournisseur, l'incertitude sur les données du fournisseur, la panne du site web du fournisseur, la gestion manuelle des remboursements, les communications aux couleurs du partenaire et les fournisseurs de secours. Pour Travelex, le test devrait inclure la défaillance d'un contrôle de sécurité d'accès à distance, la perte des systèmes de transaction, les allégations d'extorsion de données, la charge de contact des partenaires et la restauration par étapes.
Le cadre de cybersécurité du NIST fournit une structure intersectorielle pour la même leçon. La gouvernance, l'identification, la protection, la détection, la réponse et la reprise figurent toutes dans l'histoire de Travelex. La gouvernance demande si le conseil d'administration et les dirigeants comprenaient l'exposition et la dépendance externalisée. L'identification demande si les actifs exposés sur internet et les services partenaires ont été inventoriés. La protection demande si les correctifs, l'authentification multifacteur et la segmentation étaient en place. La détection demande si l'exploitation a été découverte avant le ransomware. La réponse demande si les clients et les partenaires ont reçu des mises à jour claires. La reprise demande si les services sont revenus sans arriéré manuel inacceptable ou incertitude sur les données. (Cadre de cybersécurité du NIST)
La Banque d'Angleterre, la PRA et la FCA ont par la suite mis l'accent sur la résilience opérationnelle dans l'ensemble du secteur financier, y compris le risque lié aux tiers et les services métier importants. (Résilience opérationnelle de la Banque d'Angleterre,FCA PS21/3) Travelex montre pourquoi ce langage est important au-delà des services bancaires de base. Un fournisseur spécialisé peut faire échouer un service apparemment périphérique dans de nombreuses marques en contact avec le client à la fois.
Pour les PME et les petites contreparties, la leçon est plus difficile. Les grandes banques peuvent négocier des conditions de continuité détaillées. Les petites agences de voyage, les partenaires locaux ou les exploitants d'agences peuvent accepter des conditions standard et subir des perturbations pratiques. Un programme de risque qui ne protège que le plus grand partenaire laisse les petits utilisateurs avec un faible pouvoir de négociation et une mauvaise visibilité.
C'est pourquoi les preuves de continuité de service devraient être suffisamment publiques pour soutenir toutes les contreparties touchées, pas seulement les plus gros clients dans le cadre de briefings confidentiels.
Ce qui reste inconnu
Le dossier public laisse des lacunes importantes. Travelex n'a pas publié de rapport médico-légal complet établissant le chemin d'accès initial, la chronologie, le temps de présence des attaquants, les actifs touchés, l'étendue du chiffrement, la conclusion sur l'accès aux données, l'historique des négociations de rançon ou la séquence de restauration. Les rapports publics ont lié l'incident à Sodinokibi/REvil et à une vulnérabilité VPN Pulse Secure, mais les preuves primaires publiques ne fournissent pas une chaîne d'attaque complète de l'exposition internet à la panne de l'entreprise.
Le dossier sur les données est également incomplet. Les attaquants auraient prétendu avoir copié des données. Travelex a déclaré n'avoir aucune preuve que les données des clients aient été compromises. Le dossier public ne fournit pas d'inventaire final indépendant des données, le nombre de personnes évaluées, les catégories de données examinées, la méthode médico-légale ou les décisions de notification. Cela ne signifie pas que les données ont été définitivement volées. Cela signifie que le public ne peut pas vérifier indépendamment l'assurance donnée.
Le dossier de continuité est incomplet lui aussi. Nous ne disposons pas d'un calendrier des pannes partenaire par partenaire, du total des remboursements, du nombre de réclamations clients, du nombre de transactions manuelles, du taux d'erreur de rapprochement, de l'estimation des heures supplémentaires des employés, de la carte des services au niveau des agences ou du plan de fournisseur alternatif. Nous ne savons pas quels partenaires avaient des modes manuels testés et lesquels ont improvisé. Nous ne savons pas combien de clients ont été servis manuellement ni combien de commandes ont été annulées.
Le dossier financier est plus clair mais reste limité. L'annonce de restructuration de Travelex en août et les documents de PwC montrent le chemin de la restructuration et de l'administration. Ils n'isolent pas le coût du ransomware de l'effondrement des revenus pandémiques, du fardeau de la dette, des négociations avec les créanciers et des décisions de gestion. Tout article qui attribue l'administration uniquement au ransomware exagère la causalité. Tout article qui traite le ransomware comme accessoire sous-estime le dossier de continuité.
La responsabilité suit la promesse de service
L'incident Travelex est facile à raconter comme un échec de correctif, et le correctif est central. Si le récit public sur la vulnérabilité est exact, alors une faille connue d'accès à distance est devenue une voie d'accès vers un fournisseur dont les systèmes soutenaient de nombreux services clients visibles. Mais la responsabilité ne s'est pas arrêtée au correctif.
Elle s'est étendue à l'inventaire des actifs, au contrôle des changements d'urgence, à la segmentation, à la réinitialisation des informations d'identification, à la restauration des sauvegardes, au mode manuel, à la notification des partenaires, au support client, au contrôle des fraudes, à l'autorité de remboursement et à la résilience financière au niveau du conseil d'administration.
Les acteurs criminels contrôlaient l'extorsion et l'abus. Ils ont utilisé le ransomware, les allégations de vol de données et la pression médiatique pour augmenter le coût du retard. Travelex contrôlait l'environnement exposé, la réponse, la restauration, les messages aux partenaires qu'elle a facilités ou non et les preuves qu'elle a publiées ou non. Les banques et les partenaires de distribution contrôlaient les promesses faites aux clients, les remboursements, les canaux alternatifs et les mises à jour de statut.
Les créanciers contrôlaient les négociations de restructuration qui décidaient quelles parties de l'entreprise avançaient et lesquelles restaient dans l'ancienne structure. Les régulateurs contrôlaient les normes ultérieures qui ont rendu ces dépendances plus difficiles à ignorer.
La leçon durable de l'incident est que la résilience des services externalisés doit être mesurée à partir de la première transaction échouée du client, et non à partir de la déclaration finale de reprise du fournisseur. Un client d'une banque qui ne peut pas obtenir son argent de voyage ne se soucie pas de savoir si le fournisseur qualifie cela d'incident cyber interne. Un employé d'agence utilisant des factures papier ne se soucie pas de savoir si le nom du groupe de ransomware est correctement orthographié. Un créancier ne se soucie pas de savoir si la panne est classée comme informatique ou opérationnelle.
Chaque acteur ressent les conséquences à travers la promesse de service sur laquelle il comptait.
Travelex mérite donc sa place dans le registre de la responsabilité comme un cas où le ransomware a révélé l'économie de la dépendance. L'attaquant a exploité les systèmes et l'attention. Le fournisseur a lutté pour la restauration et la communication. Les partenaires ont découvert le poids opérationnel d'un fournisseur en marque blanche. Les employés et les clients ont porté le travail manuel et l'incertitude. La restructuration ultérieure a montré que la confiance numérique, les liquidités et la continuité ne sont pas des sujets séparés.
Dans les services de change, une panne cyber peut devenir une crise de contact client, un test de gouvernance des partenaires et un événement de résilience financière tout à la fois.
Typographie
La typographie est l'art et la technique de disposer les caractères pour rendre le langage écrit lisible, agréable à lire et visuellement attrayant. Elle implique le choix des polices, des tailles de points, des longueurs de ligne, de l'interlignage et de l'espacement des lettres.
- La typographie est née avec l'invention des caractères mobiles par Johannes Gutenberg au XVe siècle.
- Les éléments clés incluent le choix de la police, le crénage, l'approche et l'interlignage.
- Une bonne typographie améliore la lisibilité et transmet une ambiance ou un ton dans le design.

