Timothy G. Brown, RSSI de SolarWinds, est spécifiquement nommé pour avoir prétendument omis d’informer les investisseurs ou d’agir sur les vulnérabilités de sécurité connues.
La Securities and Exchange Commission a porté plainte contre SolarWinds, société de logiciels de sécurité de l’information basée à Austin, au Texas, et son RSSI Timothy G. Brown, le 30 octobre. La SEC allègue que Brown a commis une fraude et n’a pas réussi à résoudre les problèmes de sécurité interne connus, ce qui a finalement conduit à l’énorme Attaque de cybersécurité Sunburst contre le gouvernement fédéral américain en décembre 2020.
Pour les RSSI, ce cas peut être un signal d’alarme s’ils travaillent avec des agences gouvernementales ou des clients d’infrastructure.
Sauter à:
Informations prétendument trompeuses de SolarWinds sur ses pratiques de cybersécurité
Le La SEC allègue qu’entre l’introduction en bourse de SolarWinds en octobre 2018 et l’annonce de la cyberattaque à grande échelle en décembre 2020, SolarWinds et Brown en particulier «… ont fraudé les investisseurs en surestimant les pratiques de cybersécurité de SolarWinds et en sous-estimant ou en omettant de divulguer les risques connus.»
Le personnel de SolarWinds, y compris Brown, a procédé à des évaluations internes qui étaient en contradiction avec les promesses de l’entreprise envers ses clients, a indiqué la SEC. Une présentation faite en 2018 par un ingénieur de l’entreprise a révélé que la configuration d’accès à distance de SolarWinds n’était « pas très sécurisée », ce qui pourrait conduire à une exploitation dans laquelle un attaquant « peut pratiquement faire n’importe quoi sans que nous le détections jusqu’à ce qu’il soit trop tard », a découvert la SEC. .
« Le volume de problèmes de sécurité identifiés au cours du mois dernier a (sic) dépassé la capacité des équipes d’ingénierie à les résoudre », a déclaré un document interne de septembre 2020 présenté à Brown, selon la SEC.
Ces problèmes comprenaient les meilleures pratiques de sécurité de base telles que ne pas utiliser les mots de passe par défaut.
Sur certains produits, les mots de passe par défaut tels que « mot de passe » sont restés en place. Le mot de passe « solarwinds123 » était également utilisé, indique le dossier de la SEC.
VOIR : Les RSSI et DSI australiens sont confrontés une bataille difficile pour impliquer les PDG dans des sujets technologiques, selon une étude. (TechRépublique)
La SEC allègue que SolarWinds n’a pas divulgué toute l’étendue de l’incident de cybersécurité Sunburst le 14 décembre 2020. SolarWinds avait déposé un formulaire 8-K à cette date ; c’est le formulaire que la SEC exige que les organisations remplissent afin d’informer formellement les investisseurs en cas d’événement important. Après que SolarWinds ait déposé le formulaire 8-K le 14 décembre, les actions de SolarWinds ont chuté de 25 % en deux jours et de 35 % fin décembre.
Quelle a été l’attaque Sunburst ?
Lors de l’attaque Sunburst de janvier 2019 à décembre 2020, des attaquants soupçonnés d’avoir le soutien de l’État russe ont utilisé le logiciel Orion de SolarWinds, ainsi que des exploits dans les produits Microsoft et VMware, pour pirater les systèmes des agences gouvernementales américaines. Les acteurs étatiques code injecté dans Orion et l’a utilisé comme porte dérobée vers les agences gouvernementales ; près de 18 000 clients SolarWinds ont été concernés. Les attaquants ont ensuite utilisé la porte dérobée « … à des fins principales d’espionnage », selon le Government Accountability Office des États-Unis.
Accusations déposées contre le RSSI Timothy Brown
La SEC allègue que Brown n’a pas réussi à résoudre les faiblesses de SolarWinds en matière de cybersécurité ni à faire comprendre l’importance de ces faiblesses au reste de l’équipe de direction. « En raison de ces défaillances, la société n’aurait pas non plus pu fournir des assurances raisonnables que ses actifs les plus précieux, y compris son produit phare Orion, étaient correctement protégés », bien que SolarWinds continue de rassurer ses clients sur la sécurité de leurs données, a déclaré la SEC.
Réponse de SolarWinds aux affirmations de la SEC
SolarWinds nie les affirmations de la SEC. « Nous sommes déçus par les accusations infondées de la SEC liées à une cyberattaque russe contre une entreprise américaine et sommes profondément préoccupés par le fait que cette action mette en danger notre sécurité nationale », a déclaré SolarWinds dans une déclaration publique envoyée par courrier électronique à TechRepublic. « La détermination de la SEC à fabriquer une plainte contre nous et notre RSSI est un autre exemple de la portée excessive de l’agence et devrait alarmer toutes les entreprises publiques et les professionnels engagés de la cybersécurité à travers le pays. Nous sommes impatients de clarifier la vérité devant les tribunaux et de continuer à soutenir nos clients grâce à nos engagements Secure by Design.
L’impact possible de cette charge SEC sur les RSSI
« Qu’ils en soient conscients ou non, les RSSI doivent désormais naviguer dans un paysage de risques personnels et professionnels différent », a déclaré Paul Caron, responsable de la cybersécurité pour les Amériques chez S-RM, un cabinet de conseil en intelligence d’affaires et en cybersécurité, dans un e-mail à TechRepublic. « Les RSSI subissent une pression importante pour s’aligner sur la vision commerciale selon laquelle les dépenses et la maturité des contrôles sont conformes à celles de leurs pairs… Les conditions sont réunies pour que chaque RSSI sur le terrain fasse une pause et réalise qu’eux aussi peuvent être finalement tenus responsables de pratiques trompeuses. déclarations sur la sécurité des programmes qu’ils gèrent.
Caron a souligné que les RSSI devraient être conscients des La règle de la SEC annoncé en juillet 2023, établissant que les entreprises doivent divulguer tout incident important de cybersécurité dans les quatre jours suivant la détermination de l’incident.
« Avec les nouvelles règles de divulgation de la SEC et cette accusation de fraude, les rapports sur la cybersécurité feront l’objet d’un examen plus approfondi à tous les niveaux », a déclaré Caron.
« L’affaire SolarWinds est un puissant rappel de l’intersection critique entre sécurité et conformité », a déclaré Igor Volovich, vice-président de la stratégie de conformité de la société de conformité Qmulos, dans un e-mail adressé à TechRepublic. « La sécurité est ce que vous faites pour protéger les actifs, les données et la réputation de votre organisation, tandis que la conformité est la façon dont vous prouvez que vous le faites. Cependant, lorsqu’il existe un écart entre votre position de contrôle réelle et ce que vous déclarez, le décor est planté pour un récit auquel aucun dirigeant ne veut participer.
