Avis juridique de la SEC aux dirigeants de SolarWinds : Responsabilité en matière de cybersécurité
La Securities and Exchange Commission (SEC) des États-Unis a émis des avis de puits à l'intention des dirigeants de SolarWinds, l'un des principaux fournisseurs de logiciels de gestion informatique, ce qui a provoqué une onde de choc dans le secteur de la cybersécurité. Ces avis concernent la réponse de l'entreprise à la cyberattaque de 2020 contre son infrastructure, qui a eu des répercussions considérables sur des milliers de clients, notamment des agences gouvernementales et des entreprises du monde entier.
Les avis Wells, reçus par des employés et des dirigeants actuels et anciens de SolarWinds, y compris le directeur financier et le directeur des systèmes d'information, indiquent que le personnel de la SEC a pris la décision préliminaire de recommander l'introduction d'une action civile contre les destinataires. Les allégations portent sur des violations de certaines dispositions des lois fédérales américaines sur les valeurs mobilières, comme indiqué dans les documents déposés par SolarWinds auprès de la SEC.
Bien qu'il ne s'agisse pas d'une accusation formelle de malversation ou d'une détermination finale de violation de la loi, un avis Wells signale une action en justice potentielle. Si la SEC obtenait gain de cause, les conséquences pourraient aller d'une injonction contre toute violation future et de sanctions pécuniaires civiles à l'interdiction pour les personnes concernées d'exercer les fonctions de dirigeant ou d'administrateur d'une société publique.
SolarWinds, connu pour sa plateforme de surveillance des réseaux et des applications Orion, a été victime d'une cyberattaque qui aurait été orchestrée par un acteur de la menace affilié à la Russie. L'attaque consistait à distribuer des mises à jour modifiées aux utilisateurs du logiciel.
En fait, il ne s'agit pas du premier avis de Wells envoyé à ce sujet. Un avis précédent avait été envoyé à SolarWinds elle-même, alléguant des violations des lois fédérales américaines sur les valeurs mobilières concernant les informations sur la cybersécurité, les déclarations publiques et les contrôles internes. La suite donnée à cet avis est toujours en suspens.
La décision de la SEC d'adresser un avis Wells à un RSSI est inhabituelle et pourrait annoncer une nouvelle ère de responsabilités potentielles pour les professionnels de la cybersécurité. Traditionnellement, ces avis sont adressés aux PDG ou aux directeurs financiers dans les cas de pyramide de Ponzi, de fraude comptable ou de manipulation des marchés. Cependant, un RSSI pourrait potentiellement enfreindre les lois en ne divulguant pas des informations importantes, telles que la gravité d'un incident, ou en ne les divulguant pas en temps opportun. Toutefois, il n'est pas toujours juste ou exact d'attribuer la responsabilité uniquement au RSSI ou au directeur financier, car la gestion de la cybersécurité fait souvent intervenir plusieurs parties prenantes et départements.
Les actions de la SEC peuvent avoir été influencées par divers facteurs, notamment des circonstances spécifiques, des cadres juridiques ou une négligence avérée si le RSSI n'a pas mis en œuvre des mesures de sécurité adéquates, a négligé les politiques, les lignes directrices et les pratiques de la SEC ou a ignoré des vulnérabilités connues.
SolarWinds, pour sa part, a déclaré que l'attaque, baptisée "Sunburst", était une attaque hautement sophistiquée et imprévisible menée par une superpuissance mondiale à l'aide de techniques inédites. L'entreprise a également prévenu que les poursuites judiciaires à son encontre et à l'encontre de ses employés pourraient avoir un effet dissuasif sur les divulgations d'infractions.
Cette situation fait écho à un cas similaire en Finlande, où l'ex-PDG d'une clinique de psychothérapie ex-PDG d'une clinique de psychothérapie a été condamné à une peine de prison avec sursis en raison de mauvaises pratiques en matière de cybersécurité.. L'entreprise n'avait pas respecté les exigences du GDPR concernant la pseudonymisation et le cryptage des données des patients, ce qui rendait les informations sensibles vulnérables au vol et à l'accès non autorisé. Le PDG et les responsables informatiques étaient conscients des problèmes de sécurité et de la violation des données, mais ils ont choisi de dissimuler les preuves liées aux violations et aux tentatives de chantage au lieu de signaler l'incident aux autorités.
Dans un retour à d'autres grandes enquêtes du passé, non liées aux technologies de l'information, "ce n'est pas le crime, c'est la dissimulation".ce n'est pas le crime, c'est la dissimulation".
L'affaire SolarWinds et l'exemple finlandais soulignent l'importance croissante de la cybersécurité et les conséquences juridiques potentielles d'une négligence dans ce domaine. Ils rappellent brutalement à toutes les entreprises et à leurs dirigeants que la cybersécurité n'est pas seulement une question technique, mais une responsabilité juridique et éthique.
Bien qu'il reste à voir comment cette situation évoluera, il est clair que la cybersécurité n'est plus seulement une question de technologie de l'information. Il s'agit d'un risque commercial critique qui requiert l'attention et la surveillance des plus hauts niveaux de direction. Alors que le paysage juridique continue d'évoluer, les entreprises et leurs dirigeants doivent rester informés et proactifs dans leur approche de la cybersécurité afin d'éviter d'éventuelles répercussions juridiques. Ce rapport signale une évolution vers une plus grande responsabilisation des professionnels de la cybersécurité et met en évidence les conséquences juridiques potentielles d'une protection insuffisante contre les cyberattaques et d'une absence de réaction à celles-ci.
Comme le dit le proverbe, "mieux vaut prévenir que guérir". Dans le contexte de la cybersécurité, cela signifie qu'il faut investir dans des mesures de sécurité solides, encourager une culture de sensibilisation à la sécurité et garantir la transparence et la rapidité de réaction en cas d'incident. Ces actions permettront non seulement de se protéger contre les cybermenaces, mais aussi d'atténuer le risque de poursuites judiciaires en cas de violation.
En fin de compte, l'objectif devrait être de créer un environnement numérique sécurisé dans lequel les entreprises peuvent prospérer et les clients peuvent avoir confiance dans la sécurité de leurs données. L'affaire SolarWinds rappelle l'importance des enjeux et la nécessité d'une vigilance permanente face à des cybermenaces en constante évolution.