Un juge fédéral a rejeté jeudi une partie d'une action en justice historique intentée par le gouvernement contre SolarWinds et son principal responsable de la cybersécurité concernant la gestion de la violation de sécurité révélée en 2020 par l'entreprise de logiciels, qui a affecté les clients, y compris les agences gouvernementales américaines.
La SEC avait poursuivi SolarWinds, une entreprise basée à Austin, Texas, et son Chief Information Security Officer, Tim Brown, l'année dernière. Il s'agissait de la représentation du risque d'une cyberattaque avant la violation de la sécurité et des informations fournies aux investisseurs après l'incident. C'était la première fois que l'autorité de régulation des valeurs mobilières poursuivait pour fraude civile – l'accusation la plus grave à sa disposition – une entreprise publique victime d'une cyberattaque.
Des groupes d'entreprises et d'anciens procureurs critiquent les mesures d'application de la SEC contre les entreprises piratées, affirmant qu'elles tiennent les victimes pour responsables des attaques, qui sont parfois menées par des acteurs soutenus par l'État. La SEC soutient que les actionnaires ont le droit de savoir comment les entreprises publiques réagissent aux risques d'attaques, qui affectent souvent le cours de l'action de l'entreprise.
La déclaration de la SEC selon laquelle SolarWinds n'aurait pas révélé aux actionnaires toute l'ampleur de l'attaque est basée sur des « rétrospectives et des spéculations », a écrit le juge fédéral américain Paul Engelmayer. Le juge a toutefois autorisé la poursuite du procès de l'agence en raison d'autres déclarations de SolarWinds concernant ses mesures de cybersécurité et ses risques avant l'attaque.
Les États-Unis ont ensuite tenu des hackers russes soutenus par l'État responsables de l'attaque. Moscou a nié toute implication.
Un porte-parole de SolarWinds a déclaré que l'entreprise était satisfaite de la décision du juge. "Nous sommes impatients de passer à la prochaine phase, où nous aurons pour la première fois l'opportunité de présenter nos propres preuves et de démontrer pourquoi l'allégation restante est factuellement inexacte", a-t-il déclaré.
Die SEC a refusé de commenter.
Le cas SolarWinds était inhabituel en ce qu'il visait un haut responsable de la cybersécurité.
Des experts en cybersécurité, des associations commerciales et des dirigeants ont exprimé des préoccupations selon lesquelles la plainte contre Brown montre que les régulateurs sont désormais prêts à poursuivre les chefs de la cybersécurité. La plainte de la SEC a été déposée peu après la condamnation de Joseph Sullivan, ancien directeur de la sécurité chez Uber Technologies, pour obstruction criminelle en lien avec ses actions durant la violation de données de l'entreprise en 2016, ce qui a suscité des craintes similaires.
David Shargel, associé du cabinet d'avocats Bracewell, a déclaré que le rejet d'une partie des poursuites de la SEC était une "victoire absolue" pour SolarWinds. Les entreprises remportent rarement une telle victoire aussi tôt dans le processus contre les poursuites de la SEC.
„Es bleibt definitiv eine ernsthafte Anklage, und es dient als Erinnerung daran, dass Unternehmen sicherstellen müssen, dass ihre öffentlichen Aussagen korrekt und nicht irreführend sind“, sagte er.
„Cela reste définitivement une accusation sérieuse, et cela sert de rappel que les entreprises doivent s'assurer que leurs déclarations publiques sont correctes et non trompeuses“, a-t-il déclaré.
Depuis la plainte contre SolarWinds, de nouvelles règles de la SEC sont entrées en vigueur concernant le moment et la manière dont les entreprises doivent divulguer les cyberattaques. Les sociétés cotées en bourse doivent signaler les cyberattaques au plus tard quatre jours ouvrables après avoir déterminé que l'attaque aura des répercussions importantes sur leurs activités, en soumettant un formulaire 8-K à l'agence. Les entreprises doivent également exposer des éléments de leur processus de gestion des risques cybernétiques dans leurs rapports annuels.
Il est remarquable qu'Engelmayer ait également rejeté l'affirmation de la SEC selon laquelle SolarWinds aurait enfreint des règles exigeant comment les entreprises doivent se protéger contre les erreurs comptables. Le juge a déclaré que les contrôles de cybersécurité ne faisaient pas partie de ce processus. « Cette interprétation est insoutenable », a écrit le juge, affirmant que les contrôles concernent clairement uniquement la comptabilité financière.
« Je pense que cela pourrait apporter une certaine sécurité à quelques départements de conformité en ce qui concerne les paramètres des obligations de divulgation », a déclaré Shargel.
SolarWinds hatte die Behörde in einer früheren Erwiderung auf die Klage beschuldigt, ihren regulatorischen Einflussbereich im Bereich Cyber erweitern zu wollen.
SolarWinds avait accusé l'agence dans une réponse précédente à la plainte de vouloir étendre son champ d'influence réglementaire dans le domaine de la cybersécurité.
