La SEC américaine poursuit SolarWinds pour avoir dissimulé des risques cybernétiques avant un piratage massif

information fournie par Reuters •30/10/2023 à 23:50

(Ajout d'un commentaire de l'avocat du dirigeant, d'un commentaire du directeur général de SolarWinds dans les paragraphes 4-7; d'un commentaire d'un avocat spécialisé dans la cybersécurité dans les paragraphes 15-17) par Chris Prentice, Jonathan Stempel et Raphael Satter

La Commission américaine des opérations de bourse (SEC) a poursuivi lundi l'éditeur de logiciels SolarWinds Corp SWI.N et son principal responsable de la sécurité informatique, affirmant qu'ils ont escroqué des investisseurs en dissimulant des faiblesses en matière de cybersécurité lors d'un piratage massif ciblant le gouvernement américain.

Le procès intenté par la SEC devant le tribunal fédéral de Manhattan accuse SolarWinds et Timothy Brown, son responsable de la sécurité informatique (CISO), d'avoir violé à plusieurs reprises les lois américaines sur les valeurs mobilières en dissimulant des vulnérabilités et des événements cybernétiques dans des documents réglementaires et d'autres déclarations de l'entreprise.

Le procès de lundi semble être la première fois que la SEC poursuit une entreprise victime d'une cyberattaque, au lieu de l'inculper et de régler simultanément l'affaire.

SolarWinds, dont le siège se trouve à Austin, au Texas, a dénoncé les "excès" de l'autorité de régulation et s'est engagée à contester les accusations devant les tribunaux.

Elle a déclaré que ces accusations étaient "infondées", qu'elles mettaient en danger la sécurité nationale et qu'elles "devraient alarmer toutes les entreprises publiques et tous les professionnels de la cybersécurité du pays"

Le directeur général, Sudhakar Ramakrishna, a déclaré dans un billet de blog: "Les accusations de la SEC mettent en péril le partage ouvert d'informations dans le secteur, dont les experts en cybersécurité s'accordent à dire qu'il est nécessaire pour notre sécurité collective

Alec Koch, avocat de M. Brown, a déclaré que son client avait fait son travail avec "diligence, intégrité et distinction" et qu'il était impatient de défendre sa réputation et de corriger les inexactitudes contenues dans la plainte de la SEC.

Les actions de SolarWinds ont chuté de plus de 3 % après les heures d'ouverture du marché, à la suite du dépôt de la plainte.

j'AI ENVIE DE VOMIR

Le piratage de près de deux ans connu sous le nom de Sunburst, dont les grandes lignes ont été rapportées pour la première fois par Reuters, a été l'une des intrusions informatiques les plus importantes jamais découvertes.

Les pirates ont pu utiliser Orion, le logiciel phare de gestion de réseau de SolarWinds, comme tremplin pour accéder aux réseaux du gouvernement américain et à des cibles internationales.

Plusieurs agences fédérales ont été compromises, notamment les départements d'État, du Trésor, de la sécurité intérieure, du commerce et de l'énergie. On ne connaît pas encore toutes les conséquences de cette violation, dont certaines sont cachées derrière des couches de classification.

Les régulateurs ont constaté que SolarWinds avait trompé le public sur les risques répétés de cybersécurité auxquels elle était confrontée entre son introduction en bourse en 2018 et sa divulgation de l'attaque en décembre 2020.

Les autorités ont déclaré que Brown avait discuté en interne des risques et des vulnérabilités connus, mais avait donné une image radicalement différente au public, alors même que des clients, y compris une agence fédérale, avaient alerté SolarWinds sur des activités malveillantes sur son logiciel phare.

Selon la SEC, les problèmes ont incité un employé de SolarWinds à déclarer en octobre 2020: " N ous sommes loin d'être une entreprise soucieuse de la sécurité. [Chaque fois que j'entends nos geeks parler de sécurité, j'ai envie de vomir"

Alexander Urbelis, avocat spécialisé dans la cybersécurité chez Crowell & Moring LLP, a déclaré que les autorités sont devenues plus attentives à tenir les dirigeants responsables des défaillances en matière de cybersécurité.

Il a cité la condamnation pour obstruction d'octobre 2022 d'un ancien chef de la sécurité d'Uber Technologies

UBER.N pour avoir dissimulé une violation de données.

"Cela a été un signal d'alarme massif pour tous les RSSI", a déclaré M. Urbelis.