La SEC inflige une amende à quatre entreprises de la tech pour avoir minimisé un incident cyber
La Securities and Exchange Commission (SEC) des Etats-Unis a infligé une amende à quatre entreprises de la tech pour avoir minimisé les effets de cyberattaques sur leurs activités dans leur communication. Unisys va devoir payer une amende de 4 millions de dollars, Avaya 1 million de dollars, Check Point Software 995.000 dollars et Mimecast 990.000 dollars.
Les enquêtes de la SEC sur ces quatre entreprises ont débuté dans le contexte de l’affaire SolarWinds. D’après la SEC, Unisys, Avaya et Check Point ont appris en 2020 que les pirates russophones ayant attaqué SolarWinds avaient probablement accédé à leurs systèmes, tandis que Mimecast a obtenu des informations similaires un an plus tard. L’agence de régulation américaine a constaté que la direction d’Unisys avait qualifié les risques d’attaques « d’hypothétiques » après avoir appris que l’entreprise avait été victime d’une violation, tout en sachant que deux intrusions liées à SolarWinds avaient conduit à l’exfiltration de plusieurs gigaoctets de données. Selon la SEC, la direction d’Avaya a déclaré que les pirates avaient accédé à un « nombre limité » d’emails de l’entreprise alors que la société savait qu’au moins 145 fichiers avaient été compromis dans le cloud. Les responsables de Check Point ont décrit les intrusions et leurs risques en termes génériques et Mimecast n’a pas divulgué le code que les attaquants ont exfiltré ni le nombre d’informations d’identification cryptées auxquelles ils ont eu accès.
« Minimiser l’ampleur d’une violation importante de la cybersécurité n’est pas une bonne stratégie », rappelle Jorge Tenreiro, chef par intérim de la Crypto Assets & Cyber Unit de la SEC. « Si les entreprises publiques peuvent être la cible de cyberattaques, il leur incombe de ne pas victimiser davantage leurs actionnaires ou d’autres membres du public en fournissant des informations trompeuses sur les incidents de cybersécurité auxquels elles ont été confrontées », ajoute Sanjay Wadhwa, directeur par intérim de la division de l’application de la loi de la SEC.
Ces amendes rappellent aux partenaires de distribution et d’intégration de demeurer vigilants en sécurisant leur chaîne d’approvisionnement, en surveillant les pratiques de sécurité de leurs partenaires commerciaux et en privilégiant une communication transparente.
