SolarWinds : la SEC pointe l’information des investisseurs

La Securities and Exchange Commission (SEC), l’organisme de régulation des marchés financiers aux États-Unis, a engagé des poursuites contre l’éditeur SolarWinds, ainsi que contre son RSSI, Timothy Brown. 

Les charges portées concernent la fraude et les défaillances de contrôle interne en lien avec les risques et vulnérabilités liés à la cybersécurité qui étaient prétendument connus.

Selon le régulateur, entre octobre 2018 (date de l’introduction en bourse initiale de SolarWinds) et décembre 2020 (date à laquelle l’éditeur a annoncé avoir été la cible d’une importante attaque informatique s’étendant sur près de deux ans, baptisée Sunburst), SolarWinds et Timothy Brown auraient trompé les investisseurs en exagérant les pratiques de cybersécurité de SolarWinds, tout en minimisant ou en omettant de divulguer les risques connus. 

En particulier, la SEC estime que Solarwinds aurait induit en erreur les investisseurs en ne révélant que des risques génériques et hypothétiques, alors qu’elle était au courant de lacunes spécifiques dans ses pratiques de cybersécurité.

Le régulateur en veut notamment pour preuve « une présentation de 2018 préparée par un ingénieur de l’entreprise et partagée en interne, y compris avec Timothy Brown, que la configuration de l’accès à distance de SolarWinds n’était “pas très sécurisée” et que quelqu’un exploitant la vulnérabilité “peut fondamentalement faire n’importe quoi sans que nous ne le détections jusqu’à ce qu’il soit trop tard” ». 

Dans sa plainte, la SEC fait en outre état de présentations de 2018 et 2019, de Timothy Brown, « qui indiquaient respectivement que “l’état actuel de la sécurité nous laisse dans un état très vulnérable pour nos actifs critiques” et que “l’accès et les privilèges aux systèmes/données critiques sont inappropriés” ».

Dans un communiqué de presse, Gurbir S. Grewal, directeur de la division de l’application des lois de la SEC, résume : « nous alléguons que, pendant des années, SolarWinds et Brown ont ignoré les signaux d’alarme répétés concernant les risques cybernétiques de SolarWinds, qui étaient bien connus dans l’ensemble de l’entreprise et qui ont amené l’un des subordonnés de Brown à conclure : “nous sommes loin d’être une entreprise soucieuse de la sécurité” ».

Pour lui, « plutôt que de remédier à ces vulnérabilités, SolarWinds et Brown se sont engagés dans une campagne visant à donner une fausse image de l’environnement de contrôles cyber de l’entreprise, privant ainsi les investisseurs d’informations matérielles exactes ».

Un avocat de Timothy Brown a déclaré qu’il avait exercé ses fonctions avec « diligence, intégrité et distinction » et qu’il avait travaillé « sans relâche et de manière responsable » pour améliorer la position de SolarWinds en matière de sécurité : « nous sommes impatients de défendre sa réputation et de corriger les inexactitudes contenues dans la plainte de la SEC ».

De son côté, Sudhakar Ramakrishna, PDG de Solarwinds, a dénoncé dans un billet de blog, une « action malavisée et inappropriée » de la SEC « représentant un ensemble régressif de points de vue et d’actions incompatibles avec les progrès que l’industrie doit réaliser et que le gouvernement encourage ». 

Car selon lui, « SolarWinds a maintenu des contrôles de cybersécurité appropriés avant SUNBURST et a montré la voie depuis lors en améliorant continuellement la sécurité des logiciels d’entreprise, sur la base des normes industrielles en évolution et des menaces de cybersécurité de plus en plus avancées ».