La SEC américaine reproche aux sociétés Unisys, Avaya, Check Point et Mimecast d’avoir minimisé les conséquences du piratage de SolarWinds en 2020, alors qu’elles avaient subi des dommages importants. Les quatre entreprises écopent d’une amende totale de près de 7 millions de dollars.
La Securities and Exchange Commission (SEC), gendarme américain de contrôle des marchés financiers, a annoncé le 22 octobre sanctionner quatre sociétés pour « déclarations trompeuses » suite au piratage d’ampleur du logiciel Orion de SolarWinds en 2020. Sont concernées les sociétés de cybersécurité Check Point et Mimecast, ainsi que l’entreprise de services informatiques Unisys et le spécialiste des communications en entreprise Avaya.
Omissions volontaires et manque de clarté
« La SEC accuse aujourd’hui quatre sociétés cotées en Bourse, anciennes et actuelles, d’avoir fait des déclarations trompeuses concernant des risques et intrusions en matière de cybersécurité, justifie la SEC dans son communiqué. La SEC a également accusé Unisys de violations des contrôles et procédures de divulgation. » Unisys se voit donc infliger une amende plus lourde, à hauteur de 4 millions de dollars (3,7 millions d’euros), tandis qu’Avaya, Check Point et Mimecast devront payer entre 990 000 et 1 million de dollars chacune.
Les faits reprochés varient selon les sociétés inculpées. Avaya a par exemple déclaré que les hackers à l’origine du piratage avaient accédé à un « nombre limité » de courriels professionnels, en omettant qu’ils avaient aussi mis la main sur au moins 145 fichiers provenant de son environnement cloud de partage de fichiers. Check Point, de son côté, a « décrit les intrusions » dans des « termes génériques », alors même qu’elle est spécialisée dans la sécurité des systèmes d’information.
Des administrations américaines et géants de la tech aussi touchés
Mimecast a minimisé la cyberattaque, en ne précisant pas le code et le nombre d’identifiants chiffrés dérobés. Enfin, Unisys a failli dans sa communication, évoquant des risques « hypothétiques » alors qu’elle a été touchée par deux fuites de données liées à l’attaque SolarWinds.
En 2020, des pirates informatiques soupçonnés d’appartenir au groupe russe Nobelium avaient compromis le logiciel de gestion des performances informatiques Orion, développé par la société SolarWinds. Ils avaient alors accédé aux réseaux, infrastructures et aux données de milliers de clients de SolarWinds, y compris des administrations américaines (département du Trésor, du Commerce) et des grands noms de la tech (Cisco, Intel, Microsoft).
En tout, 18 000 clients auraient installé des mises à jour malveillantes. Une attaque aggravée par son délai de détection : entre le premier accès des hackers aux systèmes et la découverte de l’intrusion, il se serait écoulé 14 mois.
