Okta conclut son investigation sur la compromission de janvier 2022
Nous avons finalisé notre investigation sur la compromission de janvier 2022 survenue chez un prestataire externe.
Au début de l’investigation, nous avons concentré nos efforts sur une fenêtre de temps de cinq jours, du 16 au 21 janvier, lorsque la société d’expertise tierce engagée par notre prestataire Sitel, a indiqué que le cybercriminel avait eu accès à son environnement. Sur la base de cet intervalle, nous avons déterminé que l’impact potentiel maximal de l’incident pourrait concerner 366 clients d’Okta, dont les tenants avaient fait l’objet d’un accès par un ingénieur du support client de Sitel.
Suite à l’enquête rigoureuse menée par nos experts sécurité internes et par une société de cybersécurité de renommée mondiale, que nous avons engagée pour produire un rapport d’expertise, nous pouvons aujourd’hui conclure que l’impact de cet incident a été nettement inférieur à l’impact potentiel maximal que nous avions initialement communiqué le 22 mars 2022.
Le rapport d’expertise final de la société de cybersécurité tierce livre les conclusions suivantes :
- Le cybercriminel a activement contrôlé une seule station de travail, utilisée par un ingénieur support de Sitel, dotée d’un accès à des ressources Okta.
- La prise de contrôle a duré 25 minutes consécutives le 21 janvier 2022.
- Pendant ce laps de temps limité, le cybercriminel a accédé à deux tenants actifs de clients dans l’application SuperUser (nous avons averti ces clients séparément), et a consulté un nombre limité d’informations supplémentaires dans d’autres applications comme Slack et Jira, qui ne peuvent pas être utilisées pour réaliser des actions au niveau des tenants clients d’Okta.
- Le cybercriminel n’a pas réussi à exécuter de modifications de configuration, de réinitialisation de mots de passe ou d’authentification multifacteur (MFA), ou d’événements d’usurpation d’identité du support client.
- Le cybercriminel n’a pas pu s’authentifier directement sur aucun compte Okta.
S’il a été établi que l’impact global de la compromission est significativement moindre que ce que nous avions estimé, nous sommes conscients que ce type d’incident peut avoir des répercussions plus générales sur nos clients et leur confiance en Okta.
Collaboration avec nos clients
Lorsque Okta a appris que le cybercriminel avait réussi à prendre des captures d’écran le 21 mars 2022, nous avons réagi en toute transparence en transmettant les informations en notre possession à ce moment-là. Le 22 mars 2022, nous avons commencé à avertir le nombre maximum de clients potentiellement impactés, que nous avons déterminé en examinant tous les accès à l’application SuperUser effectués par tous les employés de Sitel pendant les cinq jours concernés. Nous avons transmis à chacun de ces clients les logs de l’application SuperUser et organisé des réunions incluant des membres de l’équipe sécurité d’Okta afin d’aider les clients à comprendre les données de ces logs. Notre objectif était de leur démontrer notre volonté de rétablir la confiance dans notre relation et de collaborer avec eux pour réaffirmer la sécurité du service.
Maintenant que nous sommes arrivés à l’issue de notre investigation, nous avons transmis les deux documents suivants aux clients d’Okta dont nous pensions initialement qu’ils pourraient être impactés :
- le rapport d’expertise final, préparé pour Okta par une société de cybersécurité de renommée mondiale ;
- le plan d’action de sécurité d’Okta, qui détaille les mesures à court et à long terme permettant de renforcer la sécurité de nos sous-traitants tiers ayant accès aux systèmes de support client.
Enseignements tirés
Au-delà des entreprises potentiellement impactées, nous avons conscience qu’il est vital d’agir pour rétablir la confiance de nos clients et de notre écosystème. Les conclusions du rapport d’expertise final ne changent rien à notre détermination de prendre des mesures correctives afin de prévenir des événements similaires et d’améliorer notre capacité à réagir à des incidents de sécurité. Cela commence par la revue de nos processus de sécurité et la recherche de nouveaux moyens d’accélérer la transmission d’informations sur tous les problèmes potentiels, petits et grands, en interne et par des tiers. Nous allons continuer à évaluer les risques potentiels et, le cas échéant, nous communiquerons avec nos clients aussi vite que possible.
Nous nous engageons également à agir sur d’autres fronts :
1. Gestion des risques chez les tiers :
- Okta renforce les procédures d’audit de ses sous-traitants et confirmera qu’ils sont en conformité avec nos nouvelles exigences de sécurité. Nous exigerons que les sous-traitants qui assurent des services de support pour Okta adoptent des architectures de sécurité Zero Trust et qu'ils s’authentifient via la solution IDAM d’Okta à toutes les applications professionnelles.
- Okta a mis un terme à son partenariat avec Sykes/Sitel.
2. Accès aux systèmes de support client :
- Okta gérera désormais en direct tous les terminaux des tiers qui accèdent à nos outils de support client, afin de bénéficier de la visibilité requise pour réagir efficacement aux incidents de sécurité sans dépendre d’un tiers. Cela va nous permettre de réduire significativement les temps de réponse et de de communiquer à nos clients avec une plus grande certitude quant à l’impact réel, plutôt qu’à propos de l’impact potentiel.
- Nous apportons des modifications avancées à notre outil de support client pour limiter drastiquement les informations qu’un ingénieur de support technique peut consulter. Ces modifications visent également à offrir une plus grande transparence sur les moments où cet outil est utilisé dans les consoles d’administration clients (via System Log).
3. Communication avec les clients : nous passons en revue nos processus de communication et adopterons de nouveaux systèmes qui nous aideront à communiquer plus rapidement avec nos clients sur les problèmes de sécurité et de disponibilité.
Les prochaines étapes
Les clients Okta sont notre fierté, objectif et priorité numéro un. Nous regrettons que, alors que la technologie d’Okta a fait ses preuves pendant l’incident, nos efforts pour communiquer sur les événements survenus chez Sitel n’ont pas été à la hauteur de nos attentes ou de celles de nos clients.
L’équipe de direction d’Okta a échangé avec des milliers de clients ces dernières semaines pour communiquer directement avec eux au sujet de notre réponse.
Nous concluons cette investigation avec un partenariat renforcé et le sentiment d’avoir partagé une expérience avec nos clients. Nous sommes conscients de l’importance cruciale d'Okta pour de nombreuses organisations et pour toutes les personnes qui s’appuient sur elles, et nous sommes plus déterminés que jamais à nous montrer à la hauteur de leurs attentes.