Okta conclut son investigation sur la compromission de janvier 2022

Okta CSO David Bradbury
David Bradbury
Chief Security Officer
April 19, 2022

Nous avons finalisé notre investigation sur la compromission de janvier 2022 survenue chez un prestataire externe.

Au début de l’investigation, nous avons concentré nos efforts sur une fenêtre de temps de cinq jours, du 16 au 21 janvier, lorsque la société d’expertise tierce engagée par notre prestataire Sitel, a indiqué que le cybercriminel avait eu accès à son environnement. Sur la base de cet intervalle, nous avons déterminé que l’impact potentiel maximal de l’incident pourrait concerner 366 clients d’Okta, dont les tenants avaient fait l’objet d’un accès par un ingénieur du support client de Sitel.

Suite à l’enquête rigoureuse menée par nos experts sécurité internes et par une société de cybersécurité de renommée mondiale, que nous avons engagée pour produire un rapport d’expertise, nous pouvons aujourd’hui conclure que l’impact de cet incident a été nettement inférieur à l’impact potentiel maximal que nous avions initialement communiqué le 22 mars 2022.

Le rapport d’expertise final de la société de cybersécurité tierce livre les conclusions suivantes :

  • Le cybercriminel a activement contrôlé une seule station de travail, utilisée par un ingénieur support de Sitel, dotée d’un accès à des ressources Okta.
  • La prise de contrôle a duré 25 minutes consécutives le 21 janvier 2022.
  • Pendant ce laps de temps limité, le cybercriminel a accédé à deux tenants actifs de clients dans l’application SuperUser (nous avons averti ces clients séparément), et a consulté un nombre limité d’informations supplémentaires dans d’autres applications comme Slack et Jira, qui ne peuvent pas être utilisées pour réaliser des actions au niveau des tenants clients d’Okta.
  • Le cybercriminel n’a pas réussi à exécuter de modifications de configuration, de réinitialisation de mots de passe ou d’authentification multifacteur (MFA), ou d’événements d’usurpation d’identité du support client.
  • Le cybercriminel n’a pas pu s’authentifier directement sur aucun compte Okta.

S’il a été établi que l’impact global de la compromission est significativement moindre que ce que nous avions estimé, nous sommes conscients que ce type d’incident peut avoir des répercussions plus générales sur nos clients et leur confiance en Okta.

Collaboration avec nos clients

Lorsque Okta a appris que le cybercriminel avait réussi à prendre des captures d’écran le 21 mars 2022, nous avons réagi en toute transparence en transmettant les informations en notre possession à ce moment-là. Le 22 mars 2022, nous avons commencé à avertir le nombre maximum de clients potentiellement impactés, que nous avons déterminé en examinant tous les accès à l’application SuperUser effectués par tous les employés de Sitel pendant les cinq jours concernés. Nous avons transmis à chacun de ces clients les logs de l’application SuperUser et organisé des réunions incluant des membres de l’équipe sécurité d’Okta afin d’aider les clients à comprendre les données de ces logs. Notre objectif était de leur démontrer notre volonté de rétablir la confiance dans notre relation et de collaborer avec eux pour réaffirmer la sécurité du service.

Maintenant que nous sommes arrivés à l’issue de notre investigation, nous avons transmis les deux documents suivants aux clients d’Okta dont nous pensions initialement qu’ils pourraient être impactés :

  • le rapport d’expertise final, préparé pour Okta par une société de cybersécurité de renommée mondiale ;
  • le plan d’action de sécurité d’Okta, qui détaille les mesures à court et à long terme permettant de renforcer la sécurité de nos sous-traitants tiers ayant accès aux systèmes de support client.

Enseignements tirés

Au-delà des entreprises potentiellement impactées, nous avons conscience qu’il est vital d’agir pour rétablir la confiance de nos clients et de notre écosystème. Les conclusions du rapport d’expertise final ne changent rien à notre détermination de prendre des mesures correctives afin de prévenir des événements similaires et d’améliorer notre capacité à réagir à des incidents de sécurité. Cela commence par la revue de nos processus de sécurité et la recherche de nouveaux moyens d’accélérer la transmission d’informations sur tous les problèmes potentiels, petits et grands, en interne et par des tiers. Nous allons continuer à évaluer les risques potentiels et, le cas échéant, nous communiquerons avec nos clients aussi vite que possible.

Nous nous engageons également à agir sur d’autres fronts :

1. Gestion des risques chez les tiers :

  • Okta renforce les procédures d’audit de ses sous-traitants et confirmera qu’ils sont en conformité avec nos nouvelles exigences de sécurité. Nous exigerons que les sous-traitants qui assurent des services de support pour Okta adoptent des architectures de sécurité Zero Trust et qu'ils s’authentifient via la solution IDAM d’Okta à toutes les applications professionnelles.
  • Okta a mis un terme à son partenariat avec Sykes/Sitel.

2. Accès aux systèmes de support client :

  • Okta gérera désormais en direct tous les terminaux des tiers qui accèdent à nos outils de support client, afin de bénéficier de la visibilité requise pour réagir efficacement aux incidents de sécurité sans dépendre d’un tiers. Cela va nous permettre de réduire significativement les temps de réponse et de de communiquer à nos clients avec une plus grande certitude quant à l’impact réel, plutôt qu’à propos de l’impact potentiel.
  • Nous apportons des modifications avancées à notre outil de support client pour limiter drastiquement les informations qu’un ingénieur de support technique peut consulter. Ces modifications visent également à offrir une plus grande transparence sur les moments où cet outil est utilisé dans les consoles d’administration clients (via System Log).

3. Communication avec les clients : nous passons en revue nos processus de communication et adopterons de nouveaux systèmes qui nous aideront à communiquer plus rapidement avec nos clients sur les problèmes de sécurité et de disponibilité.

Les prochaines étapes

Les clients Okta sont notre fierté, objectif et priorité numéro un. Nous regrettons que, alors que la technologie d’Okta a fait ses preuves pendant l’incident, nos efforts pour communiquer sur les événements survenus chez Sitel n’ont pas été à la hauteur de nos attentes ou de celles de nos clients.

L’équipe de direction d’Okta a échangé avec des milliers de clients ces dernières semaines pour communiquer directement avec eux au sujet de notre réponse.

Nous concluons cette investigation avec un partenariat renforcé et le sentiment d’avoir partagé une expérience avec nos clients. Nous sommes conscients de l’importance cruciale d'Okta pour de nombreuses organisations et pour toutes les personnes qui s’appuient sur elles, et nous sommes plus déterminés que jamais à nous montrer à la hauteur de leurs attentes.

Okta CSO David Bradbury
David Bradbury
Chief Security Officer

David Bradbury est Chief Security Officer chez Okta. En tant que CSO, il dirige l'exécution de la sécurité globale de l'entreprise et son équipe est chargée de suivre l'évolution constante du paysage des menaces afin de protéger au mieux les collaborateurs et les clients. En outre, il joue un rôle essentiel en aidant ces derniers à continuer d'adopter et d'accélérer les stratégies de sécurité Zero Trust. 

Avant de rejoindre Okta, M. Bradbury était Senior Vice President et Chief Security Officer chez Symantec, où il dirigeait et supervisait l'ensemble des programmes de cybersécurité et de sécurité physique. 

Il s'est taillé une réputation internationale en tant que leader et fournisseur de cybersécurité à grande échelle. Il a acquis son expérience professionnelle en Australie, son pays natal, ainsi qu'au Royaume-Uni et aux États-Unis, en dirigeant des équipes de sécurité renommées dans certaines des plus grandes banques du monde, notamment ABN AMRO, Barclays, Morgan Stanley et la Commonwealth Bank of Australia. Il est titulaire d’un diplôme en informatique de l'université de Sydney.

Suivez David Bradbury
Share on Linkedin
Previous
Next

April 17, 2024

Qu'est-ce que l'authentification unique (SSO) ?

Par Okta
L’authentification unique ou SSO (Single Sign-On) est une méthode d’authentification qui permet aux utilisateurs d’accéder en toute sécurité à plusieurs…

Lire

March 14, 2024

Qu’est-ce que le CIAM et pourquoi est-il important ?

Par Joe Diamond
Pour satisfaire les exigences en constante évolution des clients et offrir les expériences numériques qu’ils attendent, de nombreuses entreprises se tournent…

Lire

March 14, 2024

Rapport Okta State of Inclusion – Bilan de nos initiatives pour plus d’équité

Par Lindsay Ward
Aujourd’hui, nous avons publié la quatrième édition du rapport annuel State of Inclusion, qui dresse le bilan de la représentation démographique de nos…

Lire

March 7, 2024

Businesses at Work 2024 : le retour aux fondamentaux

Par Sagnik Nandy
Au cours des premières années de cette décennie, les entreprises du monde entier ont dû s’adapter à une succession de mutations majeures. Ces changements…

Lire

February 28, 2024

Présentation d’Okta Secure Identity Commitment

Par Todd McKinnon
Il y a quelques heures, Todd McKinnon, CEO d’Okta, a envoyé cet e-mail aux employés Okta.  Bonjour à toutes et à tous, Le mois dernier, Okta a fêté ses 15 ans…

Lire