Le géant du logiciel dit au revoir à un cadre de longue date et parfois controversé.
Le directeur de la sécurité vétéran d’Oracle, Mary Ann Davidson, quitte l’entreprise de façon inattendue, mettant fin à une carrière dans la haute direction couvrant près de quatre décennies.
Un chiffre éminent à l’entreprise depuis sa participation en 1988 dans la marine américaine, Davidson faisait partie d’un groupe restreint d’employés supérieurs survivants de cette époque. Inévitablement, cela signifie que son départ, divulgué à Bloomberg par une source interne, sera considéré par certains comme une signification plus profonde.
Le timing pourrait bien sûr être une simple coïncidence. Selon Bloomberg, en mars de cette année, la société a commencé une série de licenciements non divulgués dans sa division de cloud et à tous les rôles de direction, estimée à avoir rasé des centaines de rôles d’une main-d’œuvre mondiale de 160 000.
Avec la société silencieuse sur les détails, ce mois-ci a vu d’autres licenciements à une échelle similaire. Les réductions sont largement interprétées comme une tentative de canalisation de l’argent dans les investissements en IA que l’entreprise doit faire, y compris ceux pour soutenir l’immense plate-forme du projet Stargate qui le verra exécuter des charges de travail Openai.
Bien qu’aucune annonce officielle n’ait été faite au sujet du départ de Davidson, cela vient à un moment critique pour Oracle, qui, plus tôt cette année, a été largement condamné pour sa gestion d’une violation de données potentiellement sérieuse qu’il a minimisé à plusieurs reprises.
Postes de problèmes
Comme on pourrait s’y attendre pour quelqu’un qui est dans ou autour d’Oracle Security depuis si longtemps, le temps de Davidson n’a pas été sans controverse.
Le premier est arrivé en 2004, lorsque l’entreprise a été fortement critiquée par le chasseur de bugs de base de données britannique David Litchfield pour son retard dans la réparation du volume croissant de défauts de sécurité qui est découvert dans ses produits. Imprugnement, Oracle et Davidson ont repoussé, conduisant à une guerre publique de mots en cours dont ils ont finalement reculé tranquillement.
Plus récemment, en 2015, est venue la tristement célèbre controverse «non, vous ne pouvez pas» autour d’un blog d’entreprise de ce titre que Davidson a utilisé pour appeler les clients «Inverser l’ingénierie de notre code pour tenter de trouver des vulnérabilités de sécurité.
«C’est pourquoi j’ai écrit beaucoup de lettres aux clients qui commencent par` `Salut, Howzit, Aloha », mais qui me termine par ‘Veuillez vous conformer à votre accord de licence et arrêter de reverser l’ingénierie de notre code, », a-t-elle écrit dans un article dont le contenu a été repeuplé plus tard sur seclists.org.
Alors que la critique montait, Oracle s’est retrouvé à battre une autre retraite, en supprimant rapidement l’article tout en déclarant: «Nous avons supprimé le message car il ne reflète pas nos croyances ou nos relations avec nos clients.»
Divulgation complète
En toute honnêteté, Oracle était loin d’être le seul à adopter l’idée que les fournisseurs de logiciels devaient transformer les correctifs en une fonction de sécurité de base tout en reconnaissant que les chasseurs de vulnérabilité étaient des alliés déguisés plutôt que des ennemis.
Néanmoins, des faux pas occasionnels se sont poursuivis jusqu’à présent, plus récemment dans les rapports évasifs et confus d’une prétendue violation de serveurs Oracle plus tôt cette année par un attaquant exploitant une vulnérabilité connue, CVE-2021-3558.
La réponse initiale de l’entreprise a été d’envoyer des e-mails aux clients niant qu’une violation s’était produite, avant de concéder plus tard que, bien qu’un incident s’était produit, il s’agissait de «deux serveurs obsolètes» non utilisés pour stocker des données clients importantes.
L’impression était d’une entreprise qui divulgue le moins possible dans l’espoir que les clients ne le remarquent pas et que les journalistes cesseraient éventuellement de poser des questions. Il n’y a aucune suggestion que cette stratégie était que Davidson faisait, bien que son antécédents minimiser publiquement les problèmes critiques, elle aurait sans doute dû intervenir plus tôt.
« La violation d’Oracle tombe en vertu des règles de divulgation de la SEC. S’il était minimisé ou non correctement, cela pourrait être significatif », a commenté Timothy J. Marley de la société de conseil en cybersécurité américaine Prism One. Cependant, connecter son départ à la récente violation allait probablement trop loin.
« Vous ne voyez presque jamais ce genre de mandat dans le leadership de la sécurité. Honnêtement, je ne serais pas choqué si elle décidait simplement que c’était le bon moment pour me retirer », a déclaré Marley.
Plus probablement, cependant, c’est qu’Oracle subit maintenant un passage générationnel aux jeunes cadres plus à l’écoute de l’IA. « L’IA nous oblige tous à repenser nos stratégies et nos solutions tactiques », a-t-il déclaré. «Nous faisons de notre mieux pour nous préparer à un avenir incertain. Pour ceux d’entre nous qui ont été là depuis un certain temps, il s’agit vraiment de s’adapter rapidement ou de risquer d’être laissé pour compte.»
En outre, selon Brad Shimmin, vice-président et pratique de la société dans la société d’analystes The Futurum Group, l’avènement de l’IA a été plus qu’une simple transition dans un nouveau secteur de marché pour Oracle, et a contesté ses hypothèses de longue date sur la sécurité.
« L’IA elle-même a changé la façon dont les entreprises et les attaquants voient le paysage de sécurité, non seulement élevant les enjeux et élargissant radicalement la surface d’attaque, souvent au-delà des limites de l’expérience et des connaissances actuelles », a déclaré Shimmin.
