((Traduction automatisée par Reuters, veuillez consulter la clause de non-responsabilité https://bit.ly/rtrsauto))
(Ajout de SolarWinds et des commentaires de la SEC, paragraphes 4-5) par Jonathan Stempel
Un juge américain a rejeté la majeure partie de la plainte déposée par la Securities and Exchange Commission (SEC) accusant l'éditeur de logiciels SolarWinds SWI.N d'avoir escroqué les investisseurs en dissimulant ses faiblesses en matière de sécurité avant et après une cyberattaque liée à la Russie et visant le gouvernement américain.
Le juge Paul Engelmayer, du district de Manhattan, a rejeté toutes les plaintes déposées contre SolarWinds et son directeur de la sécurité informatique, Timothy Brown, pour des déclarations faites après l'attaque, déclarant que ces plaintes étaient fondées sur "le recul et la spéculation"
Dans une décision de 107 pages rendue jeudi, le juge a également rejeté la plupart des plaintes de la SEC concernant des déclarations antérieures à l'attaque, à l'exception des plaintes pour fraude en matière de valeurs mobilières fondées sur une déclaration sur le site web de SolarWinds vantant les contrôles de sécurité de l'entreprise.
La SEC n'a pas souhaité faire de commentaires.
SolarWinds s'est déclarée satisfaite de la décision et a qualifié d'"inexacte dans les faits" la plainte restante contre la société Les avocats de M. Brown n'ont pas répondu immédiatement aux demandes de commentaires.
La cyberattaque connue sous le nom de Sunburst, qui a duré près de deux ans, a visé la société SolarWinds, basée à Austin (Texas), en utilisant sa plate-forme logicielle phare Orion pour infiltrer les réseaux du gouvernement américain.
Plusieurs agences fédérales, dont les départements du commerce, de l'énergie, de la sécurité intérieure, de l'État et du Trésor, ont été compromises avant que l'attaque ne soit révélée en décembre 2020.
Ses conséquences restent inconnues et le gouvernement américain a déclaré que la Russie avait probablement orchestré l'attaque. La Russie a nié toute responsabilité.
La plainte déposée par la SEC en octobre dernier semble être la première à viser une entreprise victime d'une cyberattaque, sans que l'autorité de régulation n'annonce un règlement simultané.
Il est également rare que la SEC poursuive des dirigeants d'entreprises publiques qui, comme M. Brown, ne sont pas étroitement impliqués dans la préparation des états financiers.
Selon la SEC, SolarWinds aurait caché la cybersécurité déficiente de ses produits avant l'attaque et aurait minimisé la gravité de l'attaque après qu'elle se soit produite.
Elle a également affirmé que SolarWinds avait dissimulé la manière dont les clients avaient été avertis des activités malveillantes impliquant Orion.
Mais le juge a déclaré que les lois anti-fraude n'exigent pas que les avertissements de risque contiennent une "spécificité maximale", un processus qui pourrait se retourner contre les cyber-attaquants si les avertissements leur fournissaient des informations supplémentaires à exploiter.
M. Engelmayer a également déclaré que SolarWinds reconnaissait qu'on ne pouvait pas s'attendre à ce qu'elle prévienne toutes les cyberattaques et qu'elle n'avait pas l'obligation de divulguer les incidents individuels.
"SolarWinds a déjà révélé la probabilité de ces incidents comme étant, malheureusement, une réalité de la vie", a écrit le juge.
L'affaire est SEC v. SolarWinds Corp et al, U.S. District Court, Southern District of New York, No. 23-09518.
0 commentaire
Vous devez être membre pour ajouter un commentaire.
Vous êtes déjà membre ? Connectez-vous
Pas encore membre ? Devenez membre gratuitement
Signaler le commentaire
Fermer