Confrontée à des problèmes de sécurité chroniques, la direction des systèmes d'information de la Nasa a désavoué HPE avec lequel un contrat de 2,5 milliards de dollars a été signé en 2011 pour résoudre des problèmes d'obsolescence et de manque de sécurité de son infrastructure informatique. Fin juillet, la DSI de l'agence spatiale, Renee Wynn en poste depuis l'année dernière, a pris une décision sans précédent en refusant de signer le contrat « d'autorité pour opérer » qui est arrivé à échéance le 24 juillet. « Je me dois d'applaudir Renee pour avoir mis le holà », a indiqué Torsten George, expert en sécurité auprès du gouvernement et vice-président de RiskSense. « Vous pouvez presque la qualifier de dénonciatrice. C'est un beau coup. Peu de personnes aurait pu faire cela pour des raisons de carrière. »
La Nasa fait face ces derniers mois à de nombreux soucis de sécurité. En début d'année, un hack de AnonSec a été rendu possible mettant en cause les paramètres par défaut des identifiants administrateur des ordinateurs de la Nasa, ayant permis de voler des informations d'employés, des logs de vols et d'autres données. En avril, SecurityScorecard a indiqué que la Nasa avait la pire cybersécurité de l'ensemble des 600 organisations gouvernementales américaines. Des signatures de malwares ont aussi été retrouvées, indiquant des machines infectées, des problèmes de certificats SSL et des ports non sécurisés. Ce n'est pas fini : en novembre dernier, la Nasa a reçu la note F pour son informatique par la House Committee on Oversight and Governement Reform.
Soulever le problème de la gestion opérationnelle du cyber-risque
D'après le contrat avec HPE, le fournisseur était supposé fournir des terminaux et des services à plus de 60 000 utilisateurs pour accroître l'efficacité de la Nasa et « permettre à ses employés de collaborer plus facilement dans un environnement sécurisé. » Les problèmes sont apparus très tôt. D'après l'inspecteur général de la Nasa, HPE a en effet échoué à remplacer la plupart des ordinateurs dans les 6 premiers mois. En 2013, un audit a fait ressortir que de multiples patchs de sécurité n'ont pas été appliqués à temps et des mises à jour ont été effectuées avec plusieurs mois de retard.
Selon Torsten George, la DSI de la Nasa a eu raison de ne pas renouveler le contrat « d'autorité pour opérer » à Hewlett Packard Enterprise, le risque étant de voir apparaître une nouvelle brèche qui risque de lui revenir comme un boomerang en lui faisant porter le chapeau de la signature. Cela étant, rien n'est encore perdu pour HPE qui dispose encore d'un délai de grâce de 6 mois pour corriger la situation. « Elle a usé de son autorité pour relayer cette affaire dans la presse pour donner du poids à son message mais donne une chance de 180 jours aux personnes responsables pour régler le problème. Si ce n'est pas le cas, elle pourrait aller au bout et décider de tout arrêter. »
Renforcer la sécurité à tous les niveaux
En agissant de la sorte, la DSI de la Nasa ne semble toutefois pas uniquement porter l'attention sur le contrat HPE mais aussi sur les problèmes rencontrés par de nombreuses agences qui ont dû se conformer aux exigences du programme Continuous Diagnostic and Mitigation du département de la sûreté intérieure. « Les agences doivent faire face à des centaines de milliers de vulnérabilités au travers leur environnement IT et sont souvent simplement trop occupées pour déterminer quelles vulnérabilités posent les risques les plus élevées », explique Torsten George. « Cette démarche va sans doute forcer les discussions sur la façon de réellement rendre opérationnel la gestion du cyber-risque. »