La Securities and Exchange Commission a annoncé aujourd'hui des accusations contre la société de logiciels SolarWinds Corporation, basée à Austin, au Texas, et son responsable de la sécurité informatique, Timothy G. Brown, pour fraude et défaillances de contrôle interne liées à des risques et à des vulnérabilités de cybersécurité prétendument connus.
La plainte allègue que, depuis au moins son introduction en bourse en octobre 2018 jusqu'à au moins son annonce en décembre 2020 qu'elle était la cible d'une cyberattaque massive de près de deux ans, surnommée "SUNBURST", SolarWinds et Brown ont fraudé les investisseurs en surévaluant les pratiques de cybersécurité de SolarWinds et en sous-estimant ou en omettant de divulguer des risques connus. Dans les documents qu'elle a déposés auprès de la SEC au cours de cette période, SolarWinds aurait trompé les investisseurs en ne divulguant que des risques génériques et hypothétiques, alors que l'entreprise et Brown connaissaient les lacunes spécifiques des pratiques de cybersécurité de SolarWinds ainsi que les risques de plus en plus élevés auxquels l'entreprise était confrontée à la même époque.
Comme l'affirme la plainte, les déclarations publiques de SolarWinds sur ses pratiques et ses risques en matière de cybersécurité étaient en contradiction avec ses évaluations internes, notamment une présentation de 2018 préparée par un ingénieur de l'entreprise et partagée en interne, y compris avec Brown, selon laquelle la configuration de l'accès à distance de SolarWinds n'était "pas très sécurisée" et que quelqu'un exploitant la vulnérabilité "peut fondamentalement faire n'importe quoi sans que nous le détections jusqu'à ce qu'il soit trop tard", ce qui pourrait entraîner une "perte de réputation et financière majeure" pour SolarWinds. De même, comme le prétend la plainte de la SEC, les présentations de 2018 et 2019 de Brown indiquaient, respectivement, que "l'état actuel de la sécurité nous laisse dans un état très vulnérable pour nos actifs critiques" et que "l'accès et les privilèges aux systèmes/données critiques sont inappropriés".
En outre, la plainte de la SEC allègue que de multiples communications entre les employés de SolarWinds, y compris Brown, tout au long de 2019 et 2020, ont remis en question la capacité de l'entreprise à protéger ses actifs critiques contre les cyberattaques. Par exemple, selon la plainte de la SEC, en juin 2020, alors qu'il enquêtait sur une cyberattaque contre un client de SolarWinds, Brown a écrit qu'il était "très préoccupant" que l'attaquant ait pu chercher à utiliser le logiciel Orion de SolarWinds dans des attaques plus importantes, car "nos backends ne sont pas si résilients" ; et un document interne de septembre 2020 partagé avec Brown et d'autres personnes indiquait que "le volume de problèmes de sécurité identifiés au cours du mois dernier a dépassé la capacité des équipes d'ingénierie à résoudre."
La plainte de la SEC affirme que Brown était conscient des risques et des vulnérabilités de SolarWinds en matière de cybersécurité, mais qu'il n'a pas résolu les problèmes ou, parfois, ne les a pas suffisamment soulevés au sein de l'entreprise. En raison de ces manquements, l'entreprise n'aurait pas été en mesure de fournir des garanties raisonnables que ses actifs les plus précieux, notamment son produit phare Orion, étaient protégés de manière adéquate.
SolarWinds a fait une déclaration incomplète sur l'attaque de SUNBURST dans un formulaire 8-K déposé le 14 décembre 2020, à la suite de quoi le cours de ses actions a chuté d'environ 25 % au cours des deux jours suivants et d'environ 35 % à la fin du mois.
"Nous alléguons que, pendant des années, SolarWinds et Brown ont ignoré les signaux d'alarme répétés concernant les cyber-risques de SolarWinds, qui étaient bien connus dans l'ensemble de l'entreprise et ont conduit l'un des subordonnés de Brown à conclure : Nous sommes loin d'être une entreprise soucieuse de la sécurité", a déclaré Gurbir S. Grewal, directeur de la division de l'application des lois de la SEC. "Plutôt que de remédier à ces vulnérabilités, SolarWinds et Brown se sont engagés dans une campagne visant à donner une fausse image de l'environnement de cybercontrôle de l'entreprise, privant ainsi les investisseurs d'informations matérielles exactes. La mesure d'exécution prise aujourd'hui n'accuse pas seulement SolarWinds et Brown d'avoir trompé le public investisseur et de ne pas avoir protégé les actifs "joyaux de la couronne" de l'entreprise, mais souligne également notre message aux émetteurs : mettez en œuvre des contrôles solides calibrés en fonction de votre environnement de risque et informez les investisseurs de vos préoccupations connues".
La plainte de la SEC, déposée dans le district sud de New York, affirme que SolarWinds et Brown ont violé les dispositions antifraude de la loi sur les valeurs mobilières de 1933 et de la loi sur l'échange de valeurs mobilières de 1934 ; SolarWinds a violé les dispositions de la loi sur l'échange relatives à la communication d'informations et aux contrôles internes ; et Brown a aidé et encouragé les violations commises par l'entreprise. La plainte demande une injonction permanente, une restitution avec intérêts avant jugement, des sanctions civiles et une interdiction d'exercer les fonctions de dirigeant et d'administrateur à l'encontre de Brown.
Comme l'affirme la plainte, les déclarations publiques de SolarWinds sur ses pratiques et ses risques en matière de cybersécurité étaient en contradiction avec ses évaluations internes, notamment une présentation de 2018 préparée par un ingénieur de l'entreprise et partagée en interne, y compris avec Brown, selon laquelle la configuration de l'accès à distance de SolarWinds n'était "pas très sécurisée" et que quelqu'un exploitant la vulnérabilité "peut fondamentalement faire n'importe quoi sans que nous le détections jusqu'à ce qu'il soit trop tard", ce qui pourrait entraîner une "perte de réputation et financière majeure" pour SolarWinds. De même, comme le prétend la plainte de la SEC, les présentations de 2018 et 2019 de Brown indiquaient, respectivement, que "l'état actuel de la sécurité nous laisse dans un état très vulnérable pour nos actifs critiques" et que "l'accès et les privilèges aux systèmes/données critiques sont inappropriés".
En outre, la plainte de la SEC allègue que de multiples communications entre les employés de SolarWinds, y compris Brown, tout au long de 2019 et 2020, ont remis en question la capacité de l'entreprise à protéger ses actifs critiques contre les cyberattaques. Par exemple, selon la plainte de la SEC, en juin 2020, alors qu'il enquêtait sur une cyberattaque contre un client de SolarWinds, Brown a écrit qu'il était "très préoccupant" que l'attaquant ait pu chercher à utiliser le logiciel Orion de SolarWinds dans des attaques plus importantes, car "nos backends ne sont pas si résilients" ; et un document interne de septembre 2020 partagé avec Brown et d'autres personnes indiquait que "le volume de problèmes de sécurité identifiés au cours du mois dernier a dépassé la capacité des équipes d'ingénierie à résoudre."
La plainte de la SEC affirme que Brown était conscient des risques et des vulnérabilités de SolarWinds en matière de cybersécurité, mais qu'il n'a pas résolu les problèmes ou, parfois, ne les a pas suffisamment soulevés au sein de l'entreprise. En raison de ces manquements, l'entreprise n'aurait pas été en mesure de fournir des garanties raisonnables que ses actifs les plus précieux, notamment son produit phare Orion, étaient protégés de manière adéquate.
SolarWinds a fait une déclaration incomplète sur l'attaque de SUNBURST dans un formulaire 8-K déposé le 14 décembre 2020, à la suite de quoi le cours de ses actions a chuté d'environ 25 % au cours des deux jours suivants et d'environ 35 % à la fin du mois.
"Nous alléguons que, pendant des années, SolarWinds et Brown ont ignoré les signaux d'alarme répétés concernant les cyber-risques de SolarWinds, qui étaient bien connus dans l'ensemble de l'entreprise et ont conduit l'un des subordonnés de Brown à conclure : Nous sommes loin d'être une entreprise soucieuse de la sécurité", a déclaré Gurbir S. Grewal, directeur de la division de l'application des lois de la SEC. "Plutôt que de remédier à ces vulnérabilités, SolarWinds et Brown se sont engagés dans une campagne visant à donner une fausse image de l'environnement de cybercontrôle de l'entreprise, privant ainsi les investisseurs d'informations matérielles exactes. La mesure d'exécution prise aujourd'hui n'accuse pas seulement SolarWinds et Brown d'avoir trompé le public investisseur et de ne pas avoir protégé les actifs "joyaux de la couronne" de l'entreprise, mais souligne également notre message aux émetteurs : mettez en œuvre des contrôles solides calibrés en fonction de votre environnement de risque et informez les investisseurs de vos préoccupations connues".
La plainte de la SEC, déposée dans le district sud de New York, affirme que SolarWinds et Brown ont violé les dispositions antifraude de la loi sur les valeurs mobilières de 1933 et de la loi sur l'échange de valeurs mobilières de 1934 ; SolarWinds a violé les dispositions de la loi sur l'échange relatives à la communication d'informations et aux contrôles internes ; et Brown a aidé et encouragé les violations commises par l'entreprise. La plainte demande une injonction permanente, une restitution avec intérêts avant jugement, des sanctions civiles et une interdiction d'exercer les fonctions de dirigeant et d'administrateur à l'encontre de Brown.
Et vous ?
Quel est votre avis sur cette affaire ?Voir aussi :
Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre SolarWinds corrige les vulnérabilités qui pourraient permettre un contrôle total du système, alors que les enquêteurs ont découvert ce qui semble être la cause de la dernière cyberattaque L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnu