SolarWinds est débouté de la plupart des poursuites engagées par la SEC contre l'entreprise américaine pour une cyberattaque liée à la Russie

information fournie par Reuters •18/07/2024 à 18:08

((Traduction automatisée par Reuters, veuillez consulter la clause de non-responsabilité https://bit.ly/rtrsauto))

(Refonte; ajout d'un contexte, de détails, d'une citation, d'une signature) par Jonathan Stempel

Un juge américain a rejeté la majeure partie de la plainte déposée par la Securities and Exchange Commission (Commission des valeurs mobilières et des changes) accusant la société de logiciels SolarWinds SWI.N d'avoir escroqué des investisseurs en dissimulant ses faiblesses en matière de sécurité avant et après une cyberattaque liée à la Russie et ciblant le gouvernement américain.

Le juge Paul Engelmayer, du district de Manhattan, a rejeté toutes les plaintes déposées contre SolarWinds et son directeur de la sécurité informatique, Timothy Brown, pour des déclarations faites après l'attaque, déclarant que ces plaintes étaient fondées sur "le recul et la spéculation"

Dans une décision de 107 pages rendue jeudi, le juge a également rejeté la plupart des plaintes déposées auprès de la SEC concernant des déclarations antérieures à l'attaque, à l'exception des plaintes pour fraude en matière de valeurs mobilières fondées sur une déclaration figurant sur le site web de SolarWinds et vantant les contrôles de sécurité de la société.

SolarWinds et les avocats de M. Brown n'ont fait aucun commentaire dans l'immédiat. La SEC n'a pas répondu immédiatement aux demandes de commentaires.

La cyberattaque connue sous le nom de Sunburst, qui a duré près de deux ans, a visé la société SolarWinds, basée à Austin (Texas), en utilisant sa plate-forme logicielle phare Orion pour s'infiltrer dans les réseaux du gouvernement américain.

Plusieurs agences fédérales, dont les départements du commerce, de l'énergie, de la sécurité intérieure, de l'État et du Trésor, ont été compromises avant que l'attaque ne soit révélée en décembre 2020.

Ses conséquences restent inconnues et le gouvernement américain a déclaré que la Russie avait probablement orchestré l'attaque. La Russie a nié toute responsabilité.

La plainte déposée par la SEC en octobre dernier semble être la première à viser une entreprise victime d'une cyberattaque, sans que l'autorité de régulation n'annonce un règlement simultané.

Il est également rare que la SEC poursuive des dirigeants d'entreprises publiques qui, comme M. Brown, ne sont pas étroitement associés à la préparation des états financiers.

Selon la SEC, SolarWinds aurait dissimulé la cybersécurité déficiente de ses produits avant l'attaque et aurait minimisé la gravité de l'attaque après qu'elle se soit produite.

Elle a également affirmé que SolarWinds avait dissimulé la manière dont les clients avaient été avertis des activités malveillantes impliquant Orion.

Mais le juge a déclaré que les lois anti-fraude n'exigent pas que les avertissements de risque contiennent une "spécificité maximale", un processus qui pourrait se retourner contre les cyber-attaquants si les avertissements leur fournissaient des informations supplémentaires à exploiter.

M. Engelmayer a également déclaré que SolarWinds reconnaissait qu'on ne pouvait pas s'attendre à ce qu'elle prévienne toutes les cyberattaques et qu'elle n'avait pas l'obligation de divulguer les incidents individuels.

"SolarWinds a déjà révélé la probabilité de ces incidents comme étant, malheureusement, une réalité de la vie", a écrit le juge.

L'affaire est SEC v. SolarWinds Corp et al, U.S. District Court, Southern District of New York, No. 23-09518.