Reuters révèle le 10 septembre que l’enquête de la Securities and Exchange Commission (SEC) américaine sur la cyberattaque massive contre SolarWinds inquiète des centaines d’entreprises. Elles redoutent que les informations dévoilées ne les exposent à des poursuites.
En effet, la Securities and Exchange Commission (SEC) américaine demande aux entreprises victimes, y compris collatérales, de la cyberattaque massive contre SolarWinds en octobre 2019 de lui fournir des informations sur toute autre violation de données ou attaque, par ransomware notamment, si elles ont téléchargé une mise à jour de SolarWinds. Ce logiciel de gestion de réseau employé par 18 000 clients dans le monde, dont de très grandes sociétés, américaines notamment.
Des centaines d’entreprises contactées par la SEC
Reuters estime que la SEC a envoyé son courrier cet été à des centaines d’entreprises, dont un grand nombre dans les secteurs de la technologie, de la finance et de l’énergie, considérées comme potentiellement touchées par les attaques de SolarWinds. Ce nombre dépasse largement la centaine d’entreprises qui auraient reconnu avoir téléchargé la version compromise du logiciel SolarWinds. Mais seules deux douzaines d’entreprises auraient été publiquement touchées, dont Microsoft, Cisco, FireEye et Intel.
Comment la SEC va-t-elle utiliser ces informations ?
Ce qui inquiète les dizaines de sociétés cotées aux Etats-Unis qui font l’objet de cette enquête, c’est qu’elles ne savent pas comment la SEC va utiliser ces informations. Reuters estime que ce complément d’enquête, sans précédent, peut révéler de nombreux cyberincidents non signalés et non liés à la campagne d’espionnage, « donnant à la SEC un niveau rare de compréhension des incidents précédemment inconnus que les entreprises n’ont probablement jamais eu l’intention de divulguer ». L’agence précise également que la SEC a déclaré aux entreprises qu’elles ne seraient pas pénalisées… si elles partageaient volontairement les données relatives au piratage de SolarWinds, mais n’a pas offert cette amnistie pour d’autres compromissions.
Le Gouvernement américain prend très au sérieux cette cyber attaque. Comme ses pairs, il reproche aux entreprises de ne pas assez divulguer de tels événements, et de dissimuler l’étendue du problème aux actionnaires, aux décideurs politiques et aux entités de luttes contre les cybermenaces.