Contexte du litige
William Barlow, qui a occupé le poste de vice‑président de l’intelligence sur les menaces chez IBM jusqu’en 2019, a déposé une plainte en 2020 affirmant que la firme aurait subi trois vagues d’intrusions orchestrées par des gouvernements étrangers. Selon lui, les attaques, notamment menées par le groupe APT 10 lié à la Chine, se sont déroulées entre 2013 et 2016 et ont compromis le réseau cœur d’IBM ainsi que deux filiales acquises, Trusteer et Truven. La plainte, rendue publique cette semaine, soutient que la société aurait délibérément caché ces incidents aux autorités et aux clients, y compris le gouvernement américain, son principal client en matière de cybersécurité.
Les accusations majeures
Barlow affirme que les pirates ont pénétré le réseau central d’IBM plus de 56 000 fois, usurpant près de 400 comptes et accédant à quelque 200 systèmes répartis dans dix‑huit pays. Il ajoute que l’entreprise n’a pas conservé de journaux d’accès, entravant ainsi toute enquête approfondie. En mars 2017, les agences de renseignement du Five Eyes (Australie, Canada, Nouvelle‑Zélande, États‑Unis, Royaume‑Uni) auraient mis en garde IBM, déclenchant une investigation interne qui, selon le plaignant, n’a jamais conduit à une notification officielle.
Réaction d’IBM
Le porte‑parole d’IBM, Miki Carver, a décliné de commenter les détails de la plainte, rappelant que le Département de Justice des États‑Unis a choisi de ne pas intervenir et que la société maintient que ses actions respectent la législation en vigueur. Cette posture souligne le fossé entre la responsabilité affichée d’IBM en tant que fournisseur de solutions de sécurité pour le secteur public et les allégations de déficits internes graves.
Implications pour le secteur
Si ces allégations s’avèrent fondées, elles mettront en lumière la difficulté pour les grandes entreprises technologiques de garantir la transparence face aux cyberattaques. Les récentes lois de notification de violation, adoptées dans plusieurs juridictions, visent à obliger les entreprises à informer rapidement les parties concernées. La situation d’IBM pourrait devenir un cas d’école illustrant les risques de rétention d’informations critiques, notamment lorsqu’une compagnie vend des services de protection à des institutions étatiques.
Au‑delà du tribunal
L’avocat de Barlow, Jason Brown, indique que son cabinet se prépare à mener une campagne juridique vigoureuse, soulignant l’incohérence de commercialiser des produits de cybersécurité tout en étant exposé à des failles internes. La communauté de la cybersécurité suit de près, car le verdict pourrait influencer la manière dont les fournisseurs de sécurité gèrent la divulgation d’incidents à l’avenir.