Logo Galink

Solution

Partenaires

Ressources

A propos

Log in

Essayez gratuitement

Galink la solution de TPRM n°1

Essayez

‹ Return to blog

J’ai perdu 11 kilos en 3 semaines - Tim Brown SolarWinds CISO

13 janv. 2026

CISO SolarWind
CISO SolarWind

Contexte :

Cet entretien est mené avec Tim Brown, RSSI de SolarWinds avant l’incident Sunburst, pendant la gestion de crise, et toujours en poste après celui-ci. L’échange couvre trois phases clés :

  • Avant l’incident : comment le programme de sécurité et les relations transverses étaient structurés

  • Pendant l’incident : comment la compromission a été découverte, comment la réponse a été organisée, et comment le rôle du RSSI a évolué sous pression

  • Après l’incident : ce qui a changé pour passer d’un programme « raisonnable » à un programme « exemplaire », et comment la confiance a été reconstruite

Un article publié sur Threatlink détaille la cyberattaque en profondeur ici



L’objectif de cet article est de résumer les points clés. N’hésitez pas à regarder la vidéo pour plus de détails.


1) Construire la réponse à incident autour des personnes et des relations, pas uniquement des procédures

Un plan sur le papier, à lui seul, ne suffit pas pour gérer un incident majeur. L’efficacité de la réponse a reposé sur :

  • Des relations de travail déjà établies entre l’ingénierie, le juridique, le marketing, la communication, le produit et la direction générale

  • Des échanges réguliers avec les dirigeants et le conseil d’administration

  • Une familiarité acquise en traitant des incidents plus modestes comme de véritables incidents


Les incidents majeurs échouent souvent parce que les équipes doivent collaborer pour la première fois sous une forte pression. Une coordination préalable a permis de réduire ce risque.


2) Traiter les “petits” problèmes comme des incidents pour se préparer au pire

Les vulnérabilités signalées par les clients étaient traitées comme des incidents, suivies de l’ouverture jusqu’à la résolution. Des événements plus limités (par exemple, des appareils volés ou des obligations de notification spécifiques à certains pays) étaient gérés via les mêmes circuits que ceux utilisés ensuite à grande échelle.

Cela a permis de créer des réflexes reproductibles : qui appeler, comment escalader, et comment coordonner le juridique et la communication.


3) Structurer la réponse rapidement, répartir clairement les responsabilités et éviter de tout remettre en question

La découverte a eu lieu brutalement le 12 décembre, avec environ 24 heures pour se préparer à une exposition publique. La réponse a fonctionné grâce à une séparation claire des responsabilités :

  • Communication : pilotée par l’équipe marketing

  • Juridique : géré par la direction juridique, y compris les échanges avec les forces de l’ordre

  • Ingénierie : concentrée sur la compromission du processus de build

  • IT : focalisé sur les vecteurs d’entrée et l’instrumentation

Une coordination de crise externe a aidé à animer les réunions, organiser les chantiers et maintenir l’exécution. La vitesse d’action a reposé sur la confiance accordée aux responsables de chaque chantier, plutôt que sur une remise en question permanente.


4) Définir le rôle du RSSI comme traducteur, connecteur et débloqueur de points de friction

Dans une crise de cette ampleur, le CEO a pris la direction, car c’est l’entreprise elle-même qui était en jeu.

La gestion de crise et la coordination de l’équipe de réponse à incident ont été pilotées par le cabinet d’avocats DLA Piper. Compte tenu de l’ampleur et de l’impact de l’attaque, il était essentiel de s’appuyer sur des experts externes disposant de l’expérience et des réflexes nécessaires, notamment pour coordonner les échanges avec les autorités (FBI, NSA) et différents gouvernements.

Le rôle de Tim a alors évolué vers :

  • La traduction des éléments techniques en décisions exploitables pour le management

  • La validation de ce qui pouvait être communiqué publiquement

  • La gestion des relations externes clés, notamment avec la CISA

  • Les échanges avec les gouvernements et les grands clients qui demandaient à parler au CISO

  • La suppression des blocages opérationnels pouvant ralentir la remédiation

La profondeur de l’équipe sécurité a été déterminante, car les opérations courantes devaient continuer malgré la mobilisation du leadership sur la crise.

5) Passer d’une sécurité “raisonnable” à une sécurité “exemplaire”, puis reconstruire la confiance avec des faits

Un programme de sécurité « raisonnable » n’est pas suffisant face à un État. Après l’incident, les évolutions ont reposé sur l’hypothèse de compromission et la réduction de l’impact d’un acteur unique, notamment via :

  • Un environnement de build triple

  • Des contrôles de redondance multiples

  • Des mécanismes exigeant plusieurs personnes internes pour impacter les builds

La reconstruction de la confiance s’est mesurée à travers les taux de renouvellement clients :

  • Environ 92 % avant l’incident

  • Une chute dans les 80 % pendant la crise

  • Une remontée à 98 % lors d’un trimestre public ultérieur

La transparence et une communication continue ont fourni aux clients les éléments factuels nécessaires pour justifier leur maintien.


Synthèse

SolarWinds est devenu un cas d'école de comment gérer une cyberattaque par une autre nation. Par le choix de la transparence, Tim permet à toute la communauté cyber d'améliorer de comment gérer comme un cas où la préparation au quotidien, via une discipline rigoureuse de gestion des incidents, une structuration rapide et claire des rôles en situation de crise, et un durcissement architectural post-incident ont permis le rétablissement.

Il ouvre également sur l’IA comme prochain point d’inflexion, où la résilience pourrait passer par une ré-architecture des systèmes au-delà de ce qui est gérable uniquement par l’humain.



DARE #6 - Benjamin Leroux - CMO @Advens>