SolarWinds affirme que l’enquête de la SEC va taper sur les dirigeants

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS
Si vous aimez nos actus inédites, ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS

SolarWinds, la société technologique au centre d’un piratage massif en décembre 2020, a déclaré que ses dirigeants pourraient bientôt faire face à des accusations de la part de la Securities and Exchange Commission (SEC) des États-Unis pour leur réponse à ce cyber incident.

Le piratage généralisé – que le gouvernement américain attribue au Service de renseignement russe – a affecté plusieurs grandes entreprises ainsi que le ministère de la Défense, le ministère de la Justice, le ministère du Commerce, le ministère du Trésor, le département de la Sécurité intérieure, le département d’État, le département de l’Énergie, Etc.

Les pirates SUNBURST avaient trouvé un moyen d’insérer un logiciel malveillant dans une version de l’application de surveillance informatique Orion de la société SolarWinds, permettant aux pirates présumés russes de s’introduire dans des cibles de grande valeur. Ils ont utilisé cet accès pour déployer des logiciels malveillants supplémentaires afin de compromettre les systèmes internes et basés sur le cloud. Bilan, ils ont pu voler des informations sensibles pendant plusieurs mois.

« Nous coopérons dans un long processus d’enquête qui semble évoluer vers des accusations de la part de la SEC à l’encontre de notre entreprise et de nos dirigeants » indique un porte-parole de l’entreprise. Un commentaire savamment réfléchi. Ce porte-parole n’oubliant de préciser que « Toute action potentielle rendra l’ensemble de l’industrie moins sécurisée en ayant un effet dissuasif sur la divulgation des incidents de cybersécurité« . En gros, si le SEC punit les dirigeants d’une entreprise, les autres tairont leur propre potentielle fuite ! Une belle mentalité que semble vouloir porter plusieurs élus Irlandais dans un amendement au RGPD interdisant de révéler les fuites traitées par la CNIL locale.

« La seule façon possible de prévenir des attaques nationales sophistiquées et répandues telles que SUNBURST est de nouer des partenariats public-privé avec le gouvernement« , ajoute SolarWinds. Une attaque « extrêmement sophistiquée et imprévisible […] menée par une superpuissance mondiale utilisant des techniques novatrices dans un nouveau type de menace que les experts en cybersécurité n’avaient jamais vu auparavant« . Les mêmes experts d’un pays agresseur qui pensaient envahir un pays en 3 jours ?

SolarWinds a été vivement critiquée pour sa gestion de l’attaque, mais elle affirme avoir suivi « les meilleures pratiques établies depuis longtemps en matière de contrôles et de divulgation en matière de cybersécurité« . Reuters a rapporté que la SEC avait envoyé des avis « Wells » à plusieurs dirigeants actuels et anciens. Des lettres que la commission envoie aux personnes faisant l’objet d’une action judiciaire en cours/à venir. Des avis donnent aux suspects 30 jours pour déposer des recours en arguant pourquoi ils ne devraient pas faire l’objet d’une action civile. Les avis soutiennent que l’entreprise a violé la loi fédérale sur les valeurs mobilières en ne mettant pas en place des contrôles internes de cybersécurité pour prévenir l’attaque.

La société basée au Texas a versé l’année dernière un règlement de 26 millions de dollars aux actionnaires par suite de poursuites liées au scandale de piratage. Cependant, la SEC a envoyé des avis Wells en novembre, suggérant que l’entreprise avait trompé le public avec ses commentaires sur la protection de la cybersécurité avant l’attaque informatique.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.