Suivant l’ordre exécutif de Trump pour dépasser Sentinéone de ses autorisations de sécurité, beaucoup se demandent si les CISO mettront bientôt les entreprises de sécurité américaines sous le même mauvais jour que Kaspersky et le Nuctech chinois.
Le gouvernement américain liant désormais des autorisations de sécurité au soutien de positions politiques spécifiques, beaucoup dans la communauté de la sécurité craignent de starter les vendeurs américains avec le même pinceau que leurs homologues russes et chinois. Les CISO de l’entreprise devront-ils maintenant se soucier de savoir s’ils peuvent compter sur la menace américaine Intel?
Plus largement, les fournisseurs de sécurité, dont beaucoup ont absolument besoin de dégagement de sécurité pour la survie financière, prendront-ils des postes problématiques pour conserver ou obtenir ces autorisations?
Routh a fait valoir que les menaces de la Russie, de la Chine, de la Corée du Nord et de l’Iran sont beaucoup plus importantes aujourd’hui qu’il y a quelques années. Les ressources du renseignement du gouvernement étant fortement réduites, cela signifie que les entreprises doivent compter beaucoup plus sur l’intelligence et les services commerciaux de la cybersécurité. Ce sont les entreprises qui ont besoin d’autorisations de sécurité, et ce que la Maison Blanche a fait, c’est politiser le processus, a déclaré Routh.
« C’est un problème dont les CISO doivent s’inquiéter, et je ne pense pas qu’ils le soient », a déclaré Routh.
Risque que les cisos perdent confiance dans les entreprises américaines
Le risque avec la politisation des autorisations de sécurité est que les CISO dans le monde, y compris les CISO représentant les entreprises américaines, vont commencer à perdre confiance dans l’intégrité des informations provenant des sociétés de cybersécurité américaines.
Routh a dit qu’il croyait cela, parce qu’il l’a fait lui-même. Lorsqu’il était le CISO à Aetna, l’équipe évaluait la société russe de cybersanie Kaspersky.
Même si la technologie était excellente et que le groupe n’avait rien entendu spécifiquement au sujet de Kaspersky, ils savaient qu’il était étroitement intégré au gouvernement russe, et ils ne faisaient tout simplement pas confiance au gouvernement russe. « Je me souviens avoir rebondi Kaspersky de tout dans notre entreprise », a déclaré Routh.
« (Kaspersky) avait de bonnes capacités, mais cela n’en valait tout simplement pas la peine. Nous avons pris une décision de compromis », a déclaré Routh, décrivant la relation entre Kaspersky et la Russie comme «nuageuse et incertaine, très similaire à la Chine et à la byédance».
Le PDG de Beauceron Security, David Shipley, a fait écho et a étendu les préoccupations de Routh.
« Que se passe-t-il si (l’administration Trump) vous demande de regarder dans l’autre sens quelque chose? » Comme la suppression de l’acteur de l’État russe Cyber Attacks des fichiers Intel de menace, a demandé Shipley. « Disons que certains exploits sont conçus par (maintenant des gouvernements amicaux) et ils disent: » Ne signalez pas cela dans votre EDR. « »
Il a déclaré que les actions de Trump sont, peut-être involontairement, un don massif pour les entreprises de cybersécurité ailleurs – du Canada, de l’Australie, d’Israël, de l’Inde, de l’Allemagne et du Japon, qui aimeraient déplacer les entreprises américaines de cybersécurité.
« La marque de technologie américaine elle-même n’a subi des coups brutaux. Si j’étais un CISO mondial, je réévaluerais où je m’approvisionne ma technologie pour m’assurer qu’ils ne sont pas interférés par leur gouvernement », a déclaré Shipley. «Les gens doivent commencer à planifier de basculer les fournisseurs de technologie à ceux basés dans des pays où l’état de droit existe toujours et des normes démocratiques existent toujours. Les dommages à la marque de technologie américaine seront incalculables. Les CISO ont besoin (fournisseurs de cybersécurité) qui ne suivent pas les caprices politiques de quiconque est en fonction.»
Outre Kaspersky, Shipley et d’autres, a fait référence au fabricant de matériel de sécurité chinois Nuctech comme un autre bon exemple d’une entreprise de sécurité entachée par sa relation avec son gouvernement.
Qu’est-ce qui a amené cela
Il s’agit principalement d’une réaction à une ordonnance de la Maison Blanche mercredi qui a lié les autorisations de sécurité au soutien des concepts politiques.
L’Ordre a réprimandé Chris Krebs, l’ancien chef de l’agence de sécurité de cybersécurité et d’infrastructure de Trump (CISA).
«L’inconduite de Krebs impliquait la censure d’un discours défavorable impliquant les élections de 2020 et la pandémie de Covid-19. CISA, sous le leadership de Krebs, a supprimé les points de vue conservateurs sous le couvert de la lutte contre la désinformation supposée et a recruté et coopéré des principales plateformes de médias sociaux pour poursuivre sa mission partisane», indique-t-il.
Trump then announced the punishment: “Those who engage in or support such conduct must not have continued access to our Nation’s secrets. Accordingly, I hereby direct the heads of executive departments and agencies (agencies) to immediately take steps consistent with existing law to revoke any active security clearance held by Christopher Krebs. I further direct the Attorney General, the Director of National Intelligence, and all other relevant agencies to immediately take all action as necessary and consistent with existing law to suspend any active Les autorisations de sécurité détenues par des particuliers à des entités associées à Krebs, y compris Sentineone, en attendant un examen de la question de savoir si ces autorisations sont conformes à l’intérêt national. »
Jeudi, Krebs a démissionné de Sentineone, espérant probablement que Trump épargnerait alors l’entreprise et ne retirerait pas les autorisations de sécurité de ses employés.
L’état actuel des autorisations de sécurité pour Krebs et Sentinelone n’est pas clair. Le communiqué de la Maison Blanche a déclaré que les chefs d’agence devraient révoquer les références de Krebs, mais cela n’a jamais dit si cela s’était encore produit. La même situation existe avec Sentineone. Ni le bureau de presse de la Maison Blanche ni les contacts des relations avec les médias à Sentinelone n’ont commenté l’état actuel de l’autorisation.
Kurtis Minder, PDG de Groupsesense, une entreprise de Virginie qui vend des menaces Intel aux entreprises, a déclaré que le type de changement de grossesse des sociétés de cybersécurité décrit est difficile, mais cela peut finalement se produire.
« Lorsque les CISO doivent commencer à prendre en compte le pedigree des dirigeants (du fournisseur de sécurité) et les positions politiques qu’ils ont occupées dans le passé, dans mon esprit, cela devient intenable », a déclaré Minder. «Cela peut se produire, et c’est une mauvaise chose.»
« Les CISO américains devraient commencer à se demander si ces entreprises étaient des paris sûrs », a-t-il dit, et « cela refait surface des préoccupations » concernant les gouvernements demandant des logiciels espions et des délais.
Minder était l’un des nombreux cadres de cybersécurité qui attendent de voir si l’incident de Sentinélone s’avère isolé, ou le début d’une tendance.
« Selon la façon dont celui-ci est poussé, et si cela arrive à une autre entreprise de cybersécurité pour quelque raison que ce soit », a déclaré Minder, « c’est la première volée et nous devrons attendre et voir où il atterrit. »
Minder a été franc lorsqu’on lui a demandé ce que son entreprise ferait si un gouvernement leur demandait de faire quelque chose qui, selon lui, blesserait leurs clients et menaçait de tirer des autorisations de sécurité si elle refusait.
Il a dit qu’il l’apporterait au conseil d’administration de l’entreprise et que toutes les options seraient évaluées conformément aux obligations fiduciaires.
Pourrait juste être le récupération
Mais tout le monde n’a pas interprété l’ordre de dégagement de sécurité comme particulièrement problématique.
« Je pense que c’est principalement un problème avec Trump et Chris spécifiquement. Cela a à voir avec le problème des élections. Sentineone n’est que des dommages collatéraux temporaires », a déclaré Steve Zalewski, l’ancien CISO de Levis Strauss. Il a occupé des postes de cybersécurité seniors à la fois à Pacific Gas & Electric et Kaiser Permanente; Aujourd’hui, il est conseiller en cybersécurité pour S3 Consulting.
« Trump est juste un New-Yorkais qui n’oublie pas un léger. Chris l’a traversé et c’est le retour sur investissement », a déclaré Zalewski. « Et s’il le faisait à d’autres sociétés de sécurité? Je ne pense pas que ce soit dans l’esprit (de Trump). Je ne pense pas qu’il essaie de conclure un accord. Il fait juste un petit remboursement. »
La plupart des analystes ont refusé de commenter les efforts de Trump, mais Will Townsend, analyste principal chez Moor Insights & Strategy, a déclaré qu’il doute que l’ordre aura beaucoup d’impact sur l’industrie.
«Les États-Unis possèdent le plus de sociétés de cybersécurité au monde, dirigés par Microsoft, Cisco, Crowdstrike, Palo Alto Networks et Zscaler, entre autres, y compris la sentinelle. Je ne prévois pas que les Cisos déplacent leur entreprise vers d’autres régions en fonction de ce qui se matérialise avec la résignation de Krebs», a déclaré Townsend. « Beaucoup peuvent spéculer que la pression sur Krebs était politiquement motivée, car il a dirigé la CISA, mais seuls ceux qui ont des autorisations de sécurité connaissent la vérité, et si Sentinélone présente vraiment des risques en tant que fournisseur de sécurité pour le gouvernement fédéral américain. »
