SolarWinds wins partial dismissal in SEC fraud case

• Un juge américain a rejeté la majeure partie de la plainte de la SEC contre SolarWinds, estimant que les accusations reposaient sur des « spéculations rétrospectives ».
• La SEC a accusé SolarWinds de dissimuler la vulnérabilité et la gravité de l’attaque, ignorant la complexité de la cybersécurité et faisant preuve de partialité rétrospective.

NOTRE AVIS
L'action de la SEC ignore la complexité de la cybersécurité, exigeant que SolarWinds divulgue chaque incident, ce qui revient à aider les hackers. Les entreprises doivent trouver un équilibre entre transparence et sécurité, et la position de la SEC perturbe cet équilibre. Ce que la SEC devrait faire, c'est se concentrer sur la promotion des pratiques de cybersécurité au lieu de punir les victimes de cyberattaques.
–Ashley Wang, journaliste BTW Voir aussi: La FCC soutient les constructeurs de fibre avec des limites de permis.

Ce qui s'est passé

Un juge américain a rejeté la majeure partie de la plainte de la Securities and Exchange Commission (SEC) contre l'entreprise de logiciels SolarWinds, accusée d'avoir fraudé les investisseurs en cachant ses faiblesses de sécurité avant et après une cyberattaque liée à la Russie.

La cyberattaque, connue sous le nom de Sunburst, a ciblé la plateforme logicielle Orion de SolarWinds, s'infiltrant dans plusieurs réseaux du gouvernement américain, y compris ceux des départements du Commerce, de l'Énergie, de la Sécurité intérieure, d'État et du Trésor. Révélée en décembre 2020, les conséquences complètes de l'attaque restent floues, bien que le gouvernement américain l'attribue à la Russie, ce que la Russie a alors nié. Voir aussi: Ofcom révèle les lacunes de couverture mobile sur les trains britanniques.

Le juge de district américain Paul Engelmayer, à Manhattan, a rejeté toutes les plaintes contre SolarWinds et Timothy Brown, son responsable de la sécurité des systèmes d'information, concernant les déclarations faites après l'attaque. Il a estimé que ces plaintes reposaient sur « des spéculations rétrospectives ». Dans sa décision de 107 pages, le juge a également rejeté la plupart des plaintes de la SEC concernant les déclarations faites avant l'attaque, à l'exception des plaintes pour fraude en valeurs mobilières liées à une déclaration sur le site Web de SolarWinds concernant les contrôles de sécurité de l'entreprise. SolarWinds s'est déclaré satisfait de la décision, qualifiant la plainte restante contre l'entreprise d'« inexacte sur le plan factuel ». Voir aussi: Robert Neuwirth.

À lire aussi: Menaces de cybersécurité: les réalités obscures de l'espionnage numérique

À lire aussi: Trois couches de sécurité requises par les plateformes IoT

Pourquoi c'est important

La plainte de la SEC, déposée en octobre dernier, a marqué la première fois que le régulateur ciblait une entreprise victime d'une cyberattaque sans annoncer un règlement simultané. Il est également inhabituel que la SEC poursuive des cadres qui ne sont pas directement impliqués dans la préparation des états financiers. La SEC a allégué que SolarWinds avait minimisé ses vulnérabilités en matière de cybersécurité et la gravité de l'attaque, et avait dissimulé les avertissements des clients concernant l'activité malveillante d'Orion. Voir aussi: L'UE réécrit les règles de souveraineté de l'infrastructure IA.

Cependant, l'action de la SEC ignore la réalité complexe de la cybersécurité. S'attendre à ce que SolarWinds divulgue chaque incident et vulnérabilité individuels serait dangereux car cela exposerait l'entreprise aux pirates informatiques. Les entreprises doivent trouver un équilibre entre transparence et sécurité, et la position de la SEC perturbe cet équilibre délicat. Voir aussi: L'UE évince les opérateurs satellites américains du spectre.

SolarWinds a reconnu le risque omniprésent de cyberattaques, ce qui est un aveu honnête dans le paysage numérique actuel. La punir pour avoir été victime d'une cyberattaque ne fait que dissuader les autres entreprises de faire preuve d'une telle transparence. La SEC doit recalibrer sa stratégie, en se concentrant sur la promotion de pratiques de cybersécurité robustes plutôt que de faire des entreprises des boucs émissaires pris dans les feux croisés de la cyberguerre mondiale. Voir aussi: La FCC impose des licences pour les points d'atterrissage des câbles sous-marins aux États-Unis.