Getty Images | Sean Gladwell
La Securities and Exchange Commission des États-Unis a poursuivi hier SolarWinds Corp. et le directeur de la sécurité de l’information, Timothy Brown, alléguant qu’ils avaient dissimulé des failles de sécurité qui ont conduit à une cyberattaque de près de deux ans connue sous le nom de « Sunburst ». L’attaque, qui aurait été menée par des pirates russes, aurait inséré un code malveillant dans le logiciel de gestion de réseau SolarWinds utilisé par des milliers de clients, notamment des agences gouvernementales américaines et des entreprises privées.
Depuis son introduction en bourse en octobre 2018 jusqu’en janvier 2021, SolarWinds et Brown « ont fraudé les investisseurs et les clients de SolarWinds au moyen d’inexactitudes, d’omissions et de stratagèmes qui dissimulaient à la fois les mauvaises pratiques de cybersécurité de la société et ses risques de cybersécurité accrus et croissants. « , indique le procès de la SEC. « Les déclarations publiques de SolarWinds sur ses pratiques et ses risques en matière de cybersécurité dressent un tableau très différent des discussions et évaluations internes sur les violations de la politique de cybersécurité, les vulnérabilités et les cyberattaques de la société. »
La SEC a poursuivi la société et Brown devant le tribunal de district américain du district sud de New York. La SEC demande la restitution des « gains mal acquis », des sanctions civiles pécuniaires et une interdiction permanente pour Brown d’agir en tant que dirigeant ou administrateur de toute société émettant des titres.
« Nous affirmons que, pendant des années, SolarWinds et Brown ont ignoré les signaux d’alarme répétés concernant les cyber-risques de SolarWinds, qui étaient bien connus dans toute l’entreprise et ont conduit l’un des subordonnés de Brown à conclure : « Nous sommes si loin d’être une entreprise soucieuse de la sécurité ». « , a déclaré Gurbir Grewal, directeur de la division de l’application de la loi de la SEC, dans un communiqué de presse. « Plutôt que de remédier à ces vulnérabilités, SolarWinds et Brown se sont engagés dans une campagne visant à brosser un tableau erroné de l’environnement de cybercontrôle de l’entreprise, privant ainsi les investisseurs d’informations importantes précises. »
L’entreprise a livré des logiciels compromis à 18 000 clients
La SEC a allégué que « SolarWinds et Brown ont violé les dispositions antifraude du Securities Act de 1933 et du Securities Exchange Act de 1934 ; SolarWinds a violé les dispositions en matière de reporting et de contrôle interne de l’Exchange Act ; et Brown a aidé et encouragé les violations de la société. » Brown a été vice-président de la sécurité et de l’architecture de SolarWinds et chef de son groupe de sécurité des informations entre juillet 2017 et décembre 2020, et est RSSI de la société basée au Texas depuis janvier 2021.
SolarWinds a reconnu dans un dossier déposé auprès de la SEC en décembre 2020 avoir été informé d’une cyberattaque qui a inséré une vulnérabilité dans son logiciel de surveillance Orion, une gamme de produits qui représentait 45 % des revenus de l’entreprise. L’attaque se poursuivait en janvier 2019 lorsque « des acteurs malveillants ont accédé aux systèmes de SolarWinds via le VPN en utilisant un appareil non géré », leur donnant « un accès large et non détecté aux systèmes de SolarWinds », selon le procès de la SEC. On ne sait pas si les attaquants y ont eu accès avant janvier 2019.
« En utilisant leur accès, les acteurs malveillants ont inséré du code malveillant dans trois versions de logiciels pour les produits Orion de SolarWinds », indique le procès de la SEC. « SolarWinds a ensuite livré ces produits compromis à plus de 18 000 clients à travers le monde. Le code malveillant a donné aux acteurs de la menace la possibilité d’accéder aux systèmes de ces clients compromis, à condition que certaines autres conditions soient remplies, et est devenu connu sous le nom d’attaque Sunburst. «
Le communiqué de presse de la SEC résumant le procès indique que les documents déposés par SolarWinds auprès de la SEC « ont induit les investisseurs en erreur en ne divulguant que des risques génériques et hypothétiques à un moment où la société et Brown connaissaient des lacunes spécifiques dans les pratiques de cybersécurité de SolarWinds ainsi que les risques de plus en plus élevés auxquels la société était confrontée. en même temps. »