- Un juge américain a rejeté la majeure partie de la plainte de la SEC contre SolarWinds, estimant que les accusations étaient fondées sur « des conjectures et des spéculations ».
- La SEC a accusé SolarWinds de dissimuler la vulnérabilité et la gravité de l'attaque, ignorant la complexité de la cybersécurité et faisant preuve de partialité avec du recul.
NOTRE AVIS
L'action de la SEC méconnaît les complexités de la cybersécurité, exigeant que SolarWinds divulgue chaque incident, ce qui revient à aider les pirates. Les entreprises doivent trouver un équilibre entre transparence et sécurité, et la position de la SEC perturbe cet équilibre. La SEC devrait plutôt se concentrer sur la promotion de bonnes pratiques de cybersécurité au lieu de punir les victimes de cyberattaques.
–Ashley Wang, journaliste BTW
Ce qui s'est passé
Un juge américain a rejeté la majorité d'une plainte de laSecurities and Exchange Commission(SEC) contre l'entreprise de logicielsSolarWinds, accusée d'avoir fraudé les investisseurs en dissimulant ses faiblesses de sécurité avant et après une cyberattaque liée à la Russie.
La cyberattaque, connue sous le nom de Sunburst, a ciblé la plateforme logicielle Orion de SolarWinds, s'infiltrant dans plusieurs réseaux du gouvernement américain, notamment ceux des départements du Commerce, de l'Énergie, de la Sécurité intérieure, d'État et du Trésor. Révélée en décembre 2020, les conséquences complètes de l'attaque restent floues, bien que le gouvernement américain l'attribue à la Russie, ce que la Russie a alors nié.
Le juge de district américain Paul Engelmayer, à Manhattan, a rejeté toutes les accusations contre SolarWinds et Timothy Brown, son responsable de la sécurité de l'information, concernant les déclarations faites après l'attaque. Il a estimé que ces accusations étaient fondées sur « des conjectures et des spéculations ». Dans sa décision de 107 pages, le juge a également rejeté la plupart des accusations de la SEC concernant les déclarations faites avant l'attaque, à l'exception des accusations de fraude en valeurs mobilières liées à une déclaration sur le site Web de SolarWinds concernant les contrôles de sécurité de l'entreprise.
SolarWinds s'est dit satisfait de la décision, qualifiant la plainte restante contre l'entreprise d'« inexacte sur le plan factuel ».
À lire aussi:Menaces de cybersécurité: les réalités obscures de l'espionnage numérique
À lire aussi:Trois couches de sécurité requises pour les plateformes IoT
Pourquoi c'est important
La plainte de la SEC, déposée en octobre dernier, a marqué la première fois que le régulateur ciblait une entreprise victime d'une cyberattaque sans annoncer un règlement simultané. Il est également rare que la SEC poursuive des cadres qui ne sont pas étroitement impliqués dans la préparation des états financiers. La SEC alléguait que SolarWinds minimisait ses vulnérabilités en matière de cybersécurité et la gravité de l'attaque, et dissimulait les avertissements des clients concernant l'activité malveillante d'Orion.
Cependant, l'action de la SEC ignore la réalité complexe de la cybersécurité. S'attendre à ce que SolarWinds divulgue chaque incident et vulnérabilité individuel serait dangereux car cela exposerait l'entreprise aux pirates. Les entreprises doivent équilibrer transparence et sécurité, et la position de la SEC perturbe cet équilibre délicat.
SolarWinds a reconnu le risque omniprésent de cyberattaques, ce qui est un aveu honnête dans le paysage numérique actuel. Les punir pour avoir été victime d'une cyber-offensive ne fait que dissuader d'autres entreprises de faire preuve d'une telle transparence. La SEC doit recalibrer sa stratégie, en se concentrant sur la promotion de solides pratiques de cybersécurité plutôt que de désigner des boucs émissaires parmi les entreprises prises dans les tirs croisés de la cyberguerre mondiale.

