1 min

États-Unis : la SEC attaque SolarWinds en justice

Le gendarme boursier américain accuse l’entreprise, victime en 2020 d’une cyberattaque aux graves conséquences, de négligence en matière de cybersécurité.

La Securities and Exchange Commission (SEC), le gendarme boursier des États-Unis, a déposé plainte, fin octobre 2023, contre l’éditeur de logiciels SolarWinds et contre son RSSI, Timothy Brown. La commission accuse la firme d’avoir trompé les investisseurs en minimisant les cyber-risques auxquels elle était exposée. SolarWinds aurait ainsi, pendant des années, « ignoré des signaux d’alarmes répétés », pourtant « bien connus dans l’entreprise ».

Fin 2020, l’éditeur de logiciels a été victime d’une spectaculaire cyberattaque attribuée par la Maison Blanche à APT29, un groupe cybercriminel affilié au SVR, le service de renseignement extérieur russe. SolarWinds fournissant des milliers d’organisations, le piratage avait touché 16 000 SI et 1 800 entités, dont des administrations sensibles.

Selon la SEC, le RSSI de SolarWinds avait, en 2018 et 2019, déploré une cyberprotection insuffisante des actifs critiques de la société, qui la rendait « très vulnérable ». En 2018, un ingénieur avait dénoncé en interne des défaillances dans la sécurité des connexions à distance, permettant à un attaquant de « pratiquement faire n’importe quoi sans que nous le détections ». En septembre 2020, un document interne précisait que le volume des problèmes de sécurité dépassait les capacités des équipes.

Le patron de Solar Winds, Sudhakar Ramakrishna, estime que cette plainte est « malavisée et inappropriée ». Son entreprise aurait, selon lui, redoublé d’efforts en 2020 pour améliorer sa cybersécurité, minimisant ainsi les conséquences de la cyberattaque.

Partager cet article avec un ami