Restez informé avec des mises à jour gratuites
Inscrivez-vous simplement au La cyber-sécurité myFT Digest – livré directement dans votre boîte de réception.
SolarWinds, la société informatique piratée par des pirates informatiques russes dans le cadre d’une vaste campagne d’espionnage en 2020, a été poursuivie en justice par la Securities and Exchange Commission des États-Unis.
La SEC a déposé lundi une plainte accusant la société et le directeur de la sécurité de l’information, Tim Brown, d’avoir induit les investisseurs en erreur en ne divulguant pas les « risques connus » et en ne représentant pas avec précision ses mesures de cybersécurité.
« Nous affirmons que, pendant des années, SolarWinds et Brown ont ignoré les signaux d’alarme répétés concernant les cyber-risques de SolarWinds, qui étaient bien connus dans toute l’entreprise et ont conduit l’un des subordonnés de Brown à conclure : « Nous sommes si loin d’être une entreprise soucieuse de la sécurité, » » Gurbir Grewal, directeur de la division d’application de la SEC, a déclaré dans un communiqué.
Les actes répréhensibles présumés se sont produits au moins depuis l’introduction en bourse de l’entreprise en octobre 2018 jusqu’en décembre 2020, lorsque l’une des plus grandes cyberattaques de l’histoire récente a mis en lumière ce qui était jusqu’alors une société de chaîne d’approvisionnement peu connue basée à Austin. Des pirates informatiques soutenus par les services de renseignement russes ont exploité un logiciel SolarWinds afin d’espionner des entreprises et des organisations gouvernementales du monde entier, notamment les départements américains du Commerce et du Trésor.
Un porte-parole de SolarWinds a déclaré que la société était « déçue par les accusations infondées de la SEC ». Les avocats représentant Brown ont déclaré qu’il avait « assumé ses responsabilités chez SolarWinds ». . . avec diligence, intégrité et distinction » et ont déclaré qu’ils étaient impatients de « défendre sa réputation ».
L’action de la SEC est la première fois qu’elle tente de tenir un responsable de la sécurité de l’information personnellement responsable des défaillances de la cybersécurité. Gary Gensler, président de la SEC, s’est concentré sur les cyber-risques, notamment en proposant des règles visant à élargir les informations d’information des entreprises.
Selon la plainte, Brown a écrit dans une présentation interne en 2018 que « l’état actuel de la sécurité de SolarWinds nous laisse dans un état très vulnérable pour nos actifs critiques ». Les documents d’enregistrement de l’introduction en bourse de l’opération ne mentionnaient cependant que «des informations génériques et hypothétiques sur les risques de cybersécurité», a indiqué la SEC.
Un ingénieur de SolarWinds a déclaré à Brown en 2020 qu’il était « effrayé » par l’activité chez l’un de leurs clients, ce à quoi le dirigeant a répondu en disant que l’affaire était « très préoccupante », selon la plainte. « Comme vous le savez, nos backends ne sont pas très résilients et nous devrions certainement les améliorer », a-t-il ajouté, selon la plainte.
La plainte citait également des communications internes avertissant en 2020 que «[t]Le nombre de problèmes de sécurité identifiés au cours du mois dernier a dépassé la capacité des équipes d’ingénierie à les résoudre ».
La SEC a allégué que ces lacunes avaient été exploitées dans ce qu’elle a qualifié de « l’un des pires incidents de cybersécurité de l’histoire », qui s’est déroulé entre janvier 2019 et décembre 2020, selon la plainte.
Un responsable de SolarWinds a écrit en novembre 2020 dans un message instantané : «[E]Chaque fois que j’entends parler de nos geeks en chef parler de sécurité, j’ai envie de vomir.