Dans la foulée de l’attaque visant Solarwinds, quatre sociétés ont également été ciblées par le même cyberattaquant. Et toutes quatre, si elles ont reconnues l’intrusion, ont minimisé sa portée. Ce qui leur vaut aujourd’hui une remontée de bretelles et une amende de la Securities and Exchange Commission.
La stratégie de la minimisation à la suite d’une cyberattaque est un bon vieux procédé de la communication de crise, mais gare aux conséquences. La SEC américaine vient de sanctionner quatre sociétés, leur reprochant dans la foulée de l’attaque Solarwinds d’avoir « fait des divulgations matériellement trompeuses concernant les risques et les intrusions en matière de cybersécurité ».
Informations trompeuses
A l’époque de la compromission du logiciel Orion de Solarwinds, un certain nombre d’entités avaient été touchées par rebond. Dont Unisys, Avaya, Check Point et Mimecast. « Ces sociétés ont fourni des informations trompeuses sur les incidents en question, laissant les investisseurs dans l’ignorance quant à la véritable portée de ces incidents » écrit Sanjay Wadhwa, Acting Director de la branche Enforcement de l’agence fédérale.
Dans le détail, Avaya avait déclaré que l’attaquant n’avait accédé qu’à un « nombre limité de messages électroniques », oubliant de mentionner que le groupe à l’origine de l’attaque était également reparti de son SI avec au moins 145 fichiers fichiers stockées dans son cloud. Du côté de Mimecast, on a reconnu les faits, mais on a omis de divulguer « la nature du code que l’attaquant a exfiltré et la quantité d’informations d’identification chiffrées auxquelles l’attaquant a accédé ».
A Check Point, il est reproché d’avoir « décrit les intrusions informatiques et les risques qui en découlent en termes génériques ». Chacun écope d’une amende d’environ un million de dollars (1 million pour Avaya, 995 000 pour Check Point et 990 000 pour Mimecast). Dans le cas d’Unisys, la douloureuse s’élève à 4 millions de dollars.
Des gigaoctets de données exfiltrées ne sont pas un « risque hypothétique »
En effet, la SEC accuse la société de services d’avoir annoncé que les « risques liés aux événements de cybersécurité » étaient « hypothétiques », quand bien même elle avait connaissance de deux intrusions dans ses systèmes d’information et de l’exfiltration de gigaoctets de données. En cause, « des contrôles de divulgation déficients ». « Minimiser l’ampleur d’une violation matérielle de la cybersécurité est une mauvaise stratégie. Dans deux de ces cas, les facteurs de risque de cybersécurité ont été formulés de manière hypothétique ou générique alors que les entreprises savaient que les risques annoncés s’étaient déjà matérialisés » souligne Jorge G. Tenreiro, responsable de la branche Cybersécurité de la SEC.