Dans le contentieux opposant Solarwinds à la SEC sur la cyberattaque de 2020, la société a nié les accusations du gendarme américain de la bourse de mauvaise gestion interne. C’est ce qui ressort d’une requête en annulation déposée auprès du tribunal du district sud de New York. L’entreprise conteste les poursuites engagées par la SEC en octobre 2023 pour « divulgation insuffisante ». Dans sa requête, Solarwinds demande le rejet de toutes les accusations à son encontre, mais aussi contre son CISO, Timothy G .Brown.
La SEC leur reproche notamment d’avoir trompé les investisseurs en ne divulguant pas les « risques connus », d’avoir violé les règles sur les contrôles de divulgation et d’avoir présenté de manière inexacte les mesures de cybersécurité de l'entreprise pendant et avant l'attaque de cyber-espionnage soutenue par la Russie. « La SEC cherche à victimiser la victime en portant des accusations de fraude sur la sécurité et les contrôles contre l’entreprise et son CISO, Tim Brown », a déclaré Solarwinds dans le document déposé au tribunal. « L'affaire est fondamentalement lacunaire et devrait être rejetée dans son intégralité », a ajouté la firme qui considère ces accusations totalement « infondées », ajoutant qu'elle a, « rapidement et de manière transparente, informé sur l'attaque et les investisseurs au fur et à mesure de l'avancement de son enquête ».
Des accusations inexplicables, selon Solarwinds
Dans sa requête, le spécialiste de la gestion de l'IT maintient que les allégations de la SEC sont erronées et ne relèvent pas de son domaine d'expertise. Il estime qu'il s'agit d'un stratagème du régulateur en vue d’établir un mandat pour des réglementations de sécurité qui n'existent pas actuellement. « En ce qui concerne les accusations relatives aux contrôles, la SEC ne parvient pas à identifier les contrôles de divulgation dont l’élaboration aurait été déraisonnable », a déclaré Solarwinds. « Et sa théorie sur les violations des « contrôles internes » équivaut à une réécriture complète de la loi. L'agence cherche à transformer le concept de responsabilité sur les contrôles internes en un vaste mandat lui permettant de réglementer les contrôles de cybersécurité des entreprises publiques, un rôle pour lequel la SEC n'a pas l'autorisation du Congrès ou l'expertise nécessaire », ajoute la plainte.
Toujours selon la société, « outre l'absence de « preuves matérielles » à l'appui de ses allégations de fraude, les accusations de violation de l'obligation d'information portées par la SEC dans le dossier d'octobre étaient irréalistes et illégales ». L’entreprise ajoute qu'elle avait prévenu ses parties prenantes que ses systèmes étaient « vulnérables à des acteurs sophistiqués soutenus par des États-nations ». « La SEC se plaint que ces informations sont insuffisantes, affirmant que les entreprises doivent divulguer des informations détaillées sur les vulnérabilités dans leurs notifications », poursuit SolarWinds dans sa plainte. « Mais ce n'est pas la loi, et pour une bonne raison : diffuser de tels détails serait inutile pour les investisseurs, peu pratique pour les entreprises, et néfaste pour les deux, car ils dévoileraient des feuilles de route aux attaquants ».
Les responsabilités du RSSI en point de mire
L'affaire a été suivie de près par le secteur car elle devrait créer de nombreux précédents, notamment sur la responsabilité du CISO. C'est la première fois qu'un RSSI d'entreprise est cité dans des accusations de la SEC pour non-divulgation. La procédure devrait permettre au CISO de faire l'objet d'un examen plus approfondi et d'assumer de nouvelles responsabilités. « Comme on pouvait s'y attendre, Solarwinds se défend en disant qu'elle a informé les investisseurs de manière adéquate », a déclaré Pareekh Jain, analyste en chef chez Pareekh Consulting. « La question est de savoir si cette information était suffisante ou s'il aurait fallu en faire plus. C'est la première fois qu'une enquête est menée sur la communication d'informations relatives à la cybersécurité à la SEC. Le jugement rendu dans cette affaire servira de principes directeurs aux RSSI pour les futures notifications de cybersécurité au régulateur », a-t-il ajouté.
Alors que Timothy G. Brown est accusé par la SEC d'avoir fait des déclarations publiques et signé des documents de sécurité internes qui, selon l'agence fédérale, ont contribué à tromper les investisseurs, Solarwinds qualifie ces accusations d'« injustifiées » et d'« inexplicables ». « La SEC ne parvient pas à articuler une théorie cohérente de complicité à l'encontre de Monsieur Brown », ajoute le document. Il est « un professionnel expérimenté et respecté qui a simplement fait son travail pendant les événements en question (et l'a bien fait). Les accusations gratuites de la SEC à son encontre doivent être rejetées ». Avant cette demande officielle de rejet des accusations de la SEC, le CEO de Solarwinds, Sudhakar Ramakrishna, avait publié les réponses de l'entreprise le même jour que le dépôt auprès de la SEC, qualifiant les accusations de « peu judicieuses » et représentatives d'un « ensemble régressif de points de vue et d'actions » incompatibles avec la manière dont doit progresser l'industrie.