SolarWinds affirme que l’enquête de la SEC va taper sur les dirigeants
SolarWinds, la société technologique au centre d’un piratage massif en décembre 2020, a déclaré que ses dirigeants pourraient bientôt faire face à des accusations de la part de la Securities and Exchange Commission (SEC) des États-Unis pour leur réponse à ce cyber incident.
Le piratage généralisé – que le gouvernement américain attribue au Service de renseignement russe – a affecté plusieurs grandes entreprises ainsi que le ministère de la Défense, le ministère de la Justice, le ministère du Commerce, le ministère du Trésor, le département de la Sécurité intérieure, le département d’État, le département de l’Énergie, Etc.
Les pirates SUNBURST avaient trouvé un moyen d’insérer un logiciel malveillant dans une version de l’application de surveillance informatique Orion de la société SolarWinds, permettant aux pirates présumés russes de s’introduire dans des cibles de grande valeur. Ils ont utilisé cet accès pour déployer des logiciels malveillants supplémentaires afin de compromettre les systèmes internes et basés sur le cloud. Bilan, ils ont pu voler des informations sensibles pendant plusieurs mois.
« Nous coopérons dans un long processus d’enquête qui semble évoluer vers des accusations de la part de la SEC à l’encontre de notre entreprise et de nos dirigeants » indique un porte-parole de l’entreprise. Un commentaire savamment réfléchi. Ce porte-parole n’oubliant de préciser que « Toute action potentielle rendra l’ensemble de l’industrie moins sécurisée en ayant un effet dissuasif sur la divulgation des incidents de cybersécurité« . En gros, si le SEC punit les dirigeants d’une entreprise, les autres tairont leur propre potentielle fuite ! Une belle mentalité que semble vouloir porter plusieurs élus Irlandais dans un amendement au RGPD interdisant de révéler les fuites traitées par la CNIL locale.
« La seule façon possible de prévenir des attaques nationales sophistiquées et répandues telles que SUNBURST est de nouer des partenariats public-privé avec le gouvernement« , ajoute SolarWinds. Une attaque « extrêmement sophistiquée et imprévisible […] menée par une superpuissance mondiale utilisant des techniques novatrices dans un nouveau type de menace que les experts en cybersécurité n’avaient jamais vu auparavant« . Les mêmes experts d’un pays agresseur qui pensaient envahir un pays en 3 jours ?
SolarWinds a été vivement critiquée pour sa gestion de l’attaque, mais elle affirme avoir suivi « les meilleures pratiques établies depuis longtemps en matière de contrôles et de divulgation en matière de cybersécurité« . Reuters a rapporté que la SEC avait envoyé des avis « Wells » à plusieurs dirigeants actuels et anciens. Des lettres que la commission envoie aux personnes faisant l’objet d’une action judiciaire en cours/à venir. Des avis donnent aux suspects 30 jours pour déposer des recours en arguant pourquoi ils ne devraient pas faire l’objet d’une action civile. Les avis soutiennent que l’entreprise a violé la loi fédérale sur les valeurs mobilières en ne mettant pas en place des contrôles internes de cybersécurité pour prévenir l’attaque.
La société basée au Texas a versé l’année dernière un règlement de 26 millions de dollars aux actionnaires par suite de poursuites liées au scandale de piratage. Cependant, la SEC a envoyé des avis Wells en novembre, suggérant que l’entreprise avait trompé le public avec ses commentaires sur la protection de la cybersécurité avant l’attaque informatique.