Le juge dans l'affaire SolarWinds rejette la surveillance de la SEC sur les contrôles de cybersécurité


Un juge fédéral dans une affaire découlant de l'une des les pires cyberattaques connues a rejeté la proposition de la Securities and Exchange Commission de superviser les contrôles de cybersécurité des entreprises, soulageant ainsi les entreprises qui craignaient d'être pénalisées par les régulateurs après des violations commises par des pirates informatiques bien dotés en ressources.

Dans un affaire surveillée de près Dans une affaire introduite par l'agence contre SolarWinds, victime du piratage informatique de 2020, le juge de district américain Paul A. Engelmayer a accordé jeudi la plupart des requêtes de rejet de la société, estimant que les lois actuelles donnent à la SEC autorité uniquement sur les contrôles financiers, et non sur tous les contrôles internes.

« La logique de la SEC, selon laquelle la loi doit être interprétée de manière à couvrir largement tous les systèmes que les sociétés publiques utilisent pour protéger leurs précieux actifs, aurait des ramifications considérables », a écrit Engelmayer dans une décision de 107 pages.

« Cela pourrait permettre à l'agence de réglementer les vérifications d'antécédents utilisées pour embaucher des agents de sécurité de nuit, la sélection de cadenas pour les hangars de stockage, les mesures de sécurité dans les parcs aquatiques dont la fiabilité dépend de la bonne volonté des clients, et les longueurs et configurations des mots de passe requis pour accéder aux ordinateurs de l'entreprise », a-t-il écrit.

Le juge fédéral de Manhattan a également rejeté les allégations de la SEC selon lesquelles les révélations de SolarWinds après avoir appris que ses clients avaient été touchés dissimulaient de manière inappropriée la gravité de la violation, dans laquelle des agents de renseignement russes ont été accusés d'avoir fouillé dans le logiciel de SolarWinds pendant plus d'un an pour pénétrer dans plusieurs agences fédérales et grandes entreprises technologiques. Les autorités américaines ont décrit l'opération, révélée en décembre 2020, comme l'une des plus graves de ces dernières années, et son les ramifications se jouent encore pour le gouvernement et l'industrie.

À une époque où les campagnes de piratage informatique sont devenues monnaie courante, la plainte a alarmé des chefs d’entreprise, des responsables de la sécurité et même d’anciens responsables gouvernementaux, comme l’ont exprimé des amis de la cour demandant son rejet. Ils ont fait valoir qu’ajouter la responsabilité pour les fausses déclarations découragerait les victimes de piratage de partager ce qu’elles savent avec les clients, les investisseurs et les autorités de sécurité.

Solar Winds, basé à Austin, a déclaré qu'il était heureux que le juge ait « largement accepté notre requête visant à rejeter les réclamations de la SEC », ajoutant dans un communiqué qu'il était « reconnaissant du soutien que nous avons reçu jusqu'à présent dans l'ensemble du secteur, de la part de nos clients, de professionnels de la cybersécurité et de responsables gouvernementaux chevronnés qui ont fait écho à nos préoccupations ».

La SEC n'a pas immédiatement répondu à une demande de commentaire.

Engelmayer n'a pas rejeté l'affaire dans son intégralité, permettant à la SEC d'essayer de démontrer que SolarWinds et le haut responsable de la sécurité Timothy Brown ont commis une fraude en valeurs mobilières en n'avertissant pas dans une « déclaration de sécurité » publique avant le piratage qu'ils savaient qu'ils étaient très vulnérables aux attaques.

La SEC « allègue de manière plausible que SolarWinds et Brown ont fait des déclarations publiques erronées et répétées, dont beaucoup sont même de simples mensonges, dans la déclaration de sécurité concernant l’adéquation de ses contrôles d’accès », a écrit Engelmayer. « Étant donné la place centrale de la cybersécurité dans le modèle économique de SolarWinds en tant qu’entreprise proposant des produits logiciels sophistiqués à des clients pour qui la sécurité informatique était primordiale, ces fausses déclarations étaient indéniablement importantes. »