Un ancien cadre dirigeant de la cybersécurité s'est mué en lanceur d'alerte et accuse IBM et AT&T d'avoir dissimulé plusieurs intrusions informatiques majeures attribuées à des puissances étrangères. La plainte, déposée en 2020 mais rendue publique seulement cette semaine, met en lumière des faits remontant au milieu des années 2010.
William Barlow, qui occupait le poste de vice-président du renseignement sur les menaces chez IBM jusqu'en août 2019, affirme dans son action en justice qu'IBM a conclu que des pirates informatiques chinois avaient compromis son réseau central entre 2013 et 2016. Il soutient que l'entreprise a ensuite activement dissimulé ces brèches et ne les a jamais divulguées, ni au public ni aux autorités compétentes. Selon la plainte, le réseau central de l'entreprise était « régulièrement piraté par des acteurs étatiques étrangers et d'autres », et des données étaient fréquemment dérobées sans que les agences gouvernementales « n'en soient jamais informées ».
Des filiales également touchées
Le lanceur d'alerte étend ses accusations à deux filiales d'IBM, qui auraient également subi des intrusions. Là encore, selon M. Barlow, la direction aurait choisi de ne pas révéler ces incidents. La plainte ne précise pas la nature des données exfiltrées ni l'identité exacte des clients potentiellement concernés, mais elle soulève des questions cruciales sur la transparence des grandes entreprises, en particulier celles qui fournissent des services de cybersécurité à l'administration fédérale américaine.
Implications pour la cybersécurité nationale
Le fait qu'IBM soit un fournisseur majeur de solutions de sécurité pour le gouvernement fédéral américain donne à ces allégations un relief particulier. Si les faits sont avérés, la dissimulation de brèches aurait pu exposer des agences gouvernementales à des risques persistants, sans qu'elles en aient conscience. Cette affaire survient dans un contexte où plusieurs lois ont récemment été adoptées pour renforcer l'obligation de déclaration des incidents de sécurité, notamment par la Securities and Exchange Commission (SEC).
Réactions des entreprises
Interrogée sur le contenu de la plainte, une porte-parole d'IBM, Miki Carver, a refusé de répondre aux questions précises sur les accusations. Elle a simplement déclaré que la plainte avait été déposée il y a six ans et que le ministère de la Justice américain (Department of Justice) était déjà informé de son contenu. Cette réponse suggère que l'affaire fait l'objet d'un suivi judiciaire ou réglementaire depuis plusieurs années. AT&T n'a pas encore communiqué officiellement sur les allégations la concernant.
Un signal d'alarme sur les pratiques de divulgation
Cette affaire illustre la difficulté persistante à faire respecter les obligations de divulgation des cyberattaques, même pour les plus grandes entreprises technologiques. Alors que la législation se durcit, le cas d'IBM et d'AT&T pourrait servir de test pour les autorités de régulation, qui doivent désormais décider si ces dissimulations présumées appellent des sanctions. L'issue de la procédure, qui n'a pas encore été jugée sur le fond, sera scrutée de près par les acteurs de la cybersécurité et les investisseurs.
Contexte légal
La plainte, déposée en 2020, a été scellée avant d'être partiellement dévoilée cette semaine. William Barlow y agit en tant que lanceur d'alerte, un statut qui lui confère une protection juridique particulière dans le cadre de la législation américaine. Il affirme que les tentatives de dissimulation d'IBM ont duré plusieurs années et qu'elles ont été orchestrées au plus haut niveau de l'entreprise.
