La Security and Exchange Commission (SEC) a accusé SolarWinds Corp., ainsi que son RSSI Tim Brown, de fraude et de défaillances de contrôle interne liées à la cyberattaque de la chaîne d’approvisionnement de 2020 sur la plateforme Orion de l’entreprise ; conduisant finalement à la compromission des départements du gouvernement américain par les services de renseignement russes.
Ces accusations envoient déjà une onde de choc au sein de la communauté des RSSI.
Le problème, selon la SEC, est l’écart entre ce que Brown et d’autres Vents solaires les employés disaient en interne par rapport à ce qu’ils divulguaient aux investisseurs.
Des messages internes ont révélé que les employés étaient bien conscients qu’ils induisaient les clients en erreur à la suite de la découverte de la vulnérabilité Orion, le La SEC a expliqué dans sa plainte.
« Eh bien, je viens de mentir »
« Peu de temps après l’attaque d’octobre 2020 contre l’entreprise de cybersécurité B, les employés de SolarWinds, dont Brown, ont reconnu des similitudes entre l’attaque contre l’agence gouvernementale américaine A », indique la plainte de la SEC. « Mais lorsque le personnel de l’entreprise de cybersécurité B a demandé aux employés de SolarWinds s’ils avaient déjà constaté une activité similaire, l’employé d’InfoSec F a faussement répondu à l’entreprise de cybersécurité B que ce n’était pas le cas. Il a ensuite envoyé un message à un collègue ‘Eh bien, je viens de mentir.' »
Mais l’incapacité à mettre en place des contrôles de cybersécurité appropriés chez SolarWinds a commencé dès 2018, selon le régulateur. La SEC allègue que Brown était au courant, mais ignoré, des avertissements concernant les vulnérabilités de l’entreprise, y compris une présentation en 2018 d’un ingénieur de SolarWinds qui qualifiait la configuration d’accès à distance de l’entreprise de « pas très sécurisée » et expliquait qu’un acteur malveillant pourrait l’utiliser pour » en gros, faites n’importe quoi sans que nous le détections jusqu’à ce qu’il soit trop tard », indique le dossier.
En ignorant ces avertissements concernant la posture de cybersécurité de l’entreprise et en omettant de soulever le problème jusqu’à la chaîne de commandement, la SEC allègue que Brown a délibérément laissé les systèmes de l’entreprise sans protection.
Brown accusé d’avoir vendu des actions gonflées de SolarWinds
SolarWinds a déposé une divulgation incomplète 8-K auprès de la SEC en décembre 2020 et Brown a personnellement profité du cours gonflé de l’action, selon les accusations.
« Le cours de l’action SolarWinds a été gonflé par les inexactitudes, les omissions et les stratagèmes évoqués dans cette plainte », a déclaré la SEC.
La SEC a en outre accusé Brown d’avoir vendu des actions gonflées de SolarWinds avant que leur valeur ne chute une fois que l’impact complet du compromis a été rendu public. Entre février 2020 et fin août 2020, Brown a vendu 9 000 actions de SolarWinds avec un bénéfice de 170 000 $, selon les registres de la Bourse de New York fournis par la SEC. Fin décembre 2020, le cours de l’action SolarWinds avait chuté de 35 %.
D’autres accusations incluent SolarWinds qui a fait des « déclarations matériellement fausses et trompeuses » sur ses pratiques de cybersécurité en affirmant que des programmes tels que le cadre du National Institute of Standards and Technology (NIST) étaient entièrement en place, alors qu’en fait, ils n’étaient que partiellement déployés.
SolarWinds et Brown s’engagent à se battre devant les tribunaux
En réponse, SolarWinds a promis une bataille judiciaire à venir.
« « La détermination de la SEC à fabriquer une réclamation contre nous et notre RSSI est un autre exemple de la portée excessive de l’agence et devrait alarmer toutes les entreprises publiques et les professionnels engagés de la cybersécurité à travers le pays. Nous sommes impatients de clarifier la vérité devant les tribunaux et de continuer à soutenir nos clients grâce à nos engagements Secure by Design. »
L’avocat de Brown, Alec Koch, s’est également engagé à défendre vigoureusement son client.
« Tim Brown a exercé ses responsabilités chez SolarWinds en tant que vice-président de la sécurité de l’information, puis en tant que responsable de la sécurité de l’information, avec diligence, intégrité et distinction », a déclaré Koch dans un communiqué. « M. Brown a travaillé sans relâche et de manière responsable pour améliorer continuellement la posture de cybersécurité de la société tout au long de son mandat chez SolarWinds, et nous sommes impatients de défendre sa réputation et de corriger les inexactitudes de la plainte de la SEC. »
Les RSSI se préparent à Fallout
Responsabilité du RSSI C’est quelque chose que la communauté de la cybersécurité a surveillé de près au cours de la dernière année. Les nouvelles accusations portées par la SEC contre Brown et SolarWinds font suite à la condamnation par un juge du RSSI d’Uber, Jake Sullivan, à trois ans de probation pour son rôle dans la dissimulation d’un incident survenu en 2016. violation de données chez Uber et en promettant des sanctions plus sévères à l’avenir.
Le RSSI d’Amtrak, Jesse Whaley, ne sait pas encore exactement comment l’acte d’accusation de SolarWinds SEC aura un impact plus large sur le rôle du RSSI.
« C’est soit vraiment bien, soit vraiment mauvais », dit Whaley. « Cela pourrait faire plus pour faire progresser la cybersécurité qu’une autre décennie de violations. »
D’un autre côté, Whaley se demande si la SEC fait vraiment la bonne chose en inculpant Brown, ajoutant qu’il se demande pourquoi le directeur financier ou l’avocat général de l’entreprise n’ont pas également été nommés dans l’acte d’accusation.
Jessica Sica, RSSI chez Weave, craint que la décision de la SEC d’accuser Brown n’éloignera davantage de personnes du rôle de RSSI.
« Cela aura probablement un effet dissuasif, comme nous le constatons déjà lorsque les RSSI quittent leur emploi pour devenir RSSI de terrain pour les fournisseurs », explique Sica.
Le problème de plus en plus aigu auquel sont confrontés les RSSI, explique-t-elle, est que presque aucun d’entre eux ne dispose des ressources nécessaires pour faire son travail.
« Je pense que la principale préoccupation est que la SEC et d’autres entités commenceront à tenir les RSSI pour responsables des violations dues au fait qu’ils n’ont pas obtenu les ressources dont ils ont besoin pour faire leur travail ? », demande Sica.
Mais, ajoute-t-elle, en termes de divulgation, dire la vérité est toujours la décision la plus intelligente. « Ne mentez pas. Ne vous cachez pas et assurez-vous de résoudre les problèmes les plus critiques qui affectent votre entreprise », conseille Sica.
Les RSSI doivent également être très prudents quant aux déclarations qu’ils publieront à l’avenir et qui pourraient contenir un langage trop optimiste, conseille l’expert en cybersécurité Jake Williams.
« Le RSSI est souvent contraint de signer une déclaration impliquant l’existence d’un programme fonctionnel », explique Williams. « J’ai même travaillé avec des sociétés cotées en bourse pour discuter publiquement d’un programme encore en phase de planification comme s’il était entièrement déployé. Dans un avenir proche, je ne pense pas que vous puissiez trouver un RSSI pour jouer à des jeux de mots comme celui-ci. « .
