Le gendarme boursier américain accuse SolarWinds d'avoir été trop léger sur sa sécurité informatique

Victime d’une attaque informatique majeure à la fin de l’année 2020, la société américaine SolarWinds voulait repartir de l’avant. La Securities and Exchange Commission (SEC), le gendarme de la bourse américaine, vient de lui remettre le nez dans ce gros dossier en annonçant le lancement de poursuites judiciaires contre l’éditeur et son responsable de la sécurité des systèmes d'information, Timothy Brown.

Selon la SEC, l’entreprise aurait trompé les investisseurs en minimisant les risques en matière de cybersécurité. “Pendant des années”, l’entreprise et son directeur de la cybersécurité “ont ignoré les signaux d’alarmes répétés”, qui étaient pourtant “bien connus dans l’entreprise”, a expliqué le gendarme boursier dans son communiqué.

Contradictions

“Les déclarations publiques de SolarWinds étaient en contradiction avec ses évaluations internes”, précise tout d’abord la SEC. Elle relève par exemple qu’une présentation d’un ingénieur datant de 2018 pointait le manque de sécurité dans l’accès à distance, et le fait que cette faille permettait à un attaquant de “pratiquement faire n'importe quoi sans que nous le détections jusqu'à ce qu'il soit trop tard”.

De même, signale la SEC, le responsable de la sécurité des systèmes d'information avait déploré dans des présentations en 2018 et 2019 un niveau de sécurité des actifs critiques laissant l’entreprise “dans un état très vulnérable”. Tandis qu’un document interne de septembre 2020 signalait que le volume des problèmes de sécurité dépassait les capacités de traitement des équipes internes.

Des poursuites inappropriées

L’annonce des poursuites judiciaires a été critiquée par le patron de SolarWinds, Sudhakar Ramakrishna. C’est une “mesure malavisée et inappropriée”, a-t-il dénoncé dans un post de blog. Et d’insister au contraire sur les efforts de l’entreprise pour améliorer sa sécurité informatique avant la révélation du piratage informatique, en suivant l'évolution des normes industrielles et des standards du secteur.

Après avoir assuré que son entreprise s’était engagée en faveur d’une communication transparente, il a également estimé que l’action judiciaire mettait en danger “le partage ouvert d'informations au sein du secteur”. Les experts en cybersécurité jugent ce genre d’échanges nécessaires pour renforcer la sécurité informatique de tous.

Cas d’école

L’attaque du logiciel de supervision Orion de SolarWinds est devenu un cas d’école d’une attaque sur la chaîne d’approvisionnement. Le piratage informatique, resté sous les radars pendant plusieurs mois, avait fait l’effet d’une déflagration dans le monde de la sécurité au vu du nombre potentiel de victimes, 1800 organisations dont des administrations de haut vol.

Plus d’un an plus tard, les Etats-Unis avaient attribué l’attaque à la Russie, plus précisément en désignant le SVR, le service de renseignement extérieur russe comme l’auteur de du piratage. Commis par “Cozy Bear”, le groupe d’attaquants APT29, il aurait permis d’espionner ou de perturber plus de 16000 systèmes informatiques dans le monde, avait compté alors la Maison Blanche.