Un avis qui a du mal à passer. Ainsi peut-on résumer le message de la SEC (Security and Exchange Commission) à destination de certains dirigeants de Solarwinds à la suite de la cyberattaque de 2020. En effet, le gendarme boursier a émis des avis Wells (une lettre adressée aux particuliers ou aux entreprises pour les alerter sur des violations potentielles des lois fédérales suite à l’enquête de la SEC et les mesures à prendre) qui prévoit la possibilité d’engager des poursuites contre les dirigeants de Solarwinds y compris le CFO (chief financial officer), Bart Kalsu et le CISO (chief information security officer), Tim Brown. Solarwinds essayer de temporiser en indiquant qu’un avis Wells « n’est ni une accusation formelle d’actes répréhensibles, ni la détermination finale que le destinataire a violé une loi ».

Cependant, si la SEC entame une action en justice et obtient gain de cause, cela pourrait avoir plusieurs conséquences. « Si elle devait autoriser une action contre l'une de ces personnes, elle pourrait demander une ordonnance leur interdisant à de violer à l'avenir les dispositions des lois fédérales sur la sécurité assujetties à ce type d'action, imposant des sanctions pécuniaires civiles et/ou une interdiction d’exercer en tant que dirigeant ou administrateur d'une société publique et prévoyant d'autres mesures équitables relevant de l'autorité de la SEC », a encore déclaré Solarwinds dans un document. Cette prise de position fait suite à un autre avis Wells contre la société elle-même où le régulateur alléguait « des violations de certaines dispositions de sécurité prévues par les lois fédérales américaines concernant nos informations sur la cybersécurité et nos déclarations publiques, ainsi que nos contrôles internes et nos contrôles et procédures de divulgation ». Dans un courriel, le CEO de SolarWinds, Sudhakar Ramakrishna, a expliqué à ses employés que, malgré les mesures extraordinaires prises pour coopérer avec la SEC et l'informer, l'agence continue de prendre des positions qui, selon SolarWinds, ne correspondent pas aux faits. « Nous continuerons à explorer d’autres voies pour résoudre cette affaire avant que la SEC ne prenne une décision finale. Et si la SEC décide finalement d'engager une action en justice, nous avons l'intention de nous défendre vigoureusement », a écrit le dirigeant dans le courriel, que l’entreprise a aussi envoyé à des médias.

Un débat sur la responsabilité des RSSI

Mais c’est le petit monde de la cybersécurité qui s’est le plus ému des derniers avis de la SEC ciblant le CISO. Une décision inhabituelle qui accroît la responsabilité des RSSI en cas d’incident. « Habituellement, un avis Wells vise un CEO ou un directeur financier en cas suspicion de combines à la Ponzi, de fraude comptable ou de manipulation du marché, mais il est peu probable que cela s'applique à un RSSI », déclare Jamil Farshchi, RSSI chez Equifax, dans un message publié sur LinkedIn, ajoutant que l'une des violations qu'un RSSI pourrait commettre ne concerne que la non-divulgation d’informations matérielles. « Par exemple, ne pas informer sur la gravité d'un incident (…) ou ne pas le faire en temps voulu, pourraient vraisemblablement entrer dans cette catégorie », poursuit-il. Agnidipta Sarkar, ancien RSSI du laboratoire pharmaceutique Biocon, estime que « même si cela ne signifie pas que le RSSI sera inculpé, c’est une nouvelle étape. À partir d'aujourd'hui, ils seront de plus en plus souvent tenus pour responsables des décisions qu'ils ont prises ou n'ont pas prises ».

« Cependant, attribuer la responsabilité uniquement au RSSI ou au directeur financier n'est pas toujours juste ou exact », indique pour sa part Ruby Mishra, RSSI chez KPMG Inde. « Pour gérer efficacement la cybersécurité, l’entreprise adopte une approche à plusieurs niveaux impliquant divers acteurs et départements. Tenir le RSSI ou le directeur financier pour seul responsable d'une cyberattaque peut faire oublier la responsabilité collective », glisse le responsable. Ce dernier fait remarquer qu'il est difficile pour les individus ou les entreprises de prévenir toutes les cyberattaques en raison des techniques sophistiquées et de l'évolution rapide du paysage des menaces. « Avant d'émettre l'avis, la SEC a peut-être pris en compte divers facteurs, y compris des circonstances spécifiques et des cadres juridiques, ou a peut-être démontré une négligence si le RSSI n'a pas mis en œuvre des mesures de sécurité adéquates, a négligé les politiques, les lignes directrices et les pratiques de la SEC, ou a ignoré des vulnérabilités connues » ajoute-t-il.

De son côté, SolarWinds a déclaré dans un communiqué envoyé aux médias que « Sunburst », nom donné par la firme à la violation, « était une attaque hautement sophistiquée et imprévisible qui, selon le gouvernement américain, a été menée par une superpuissance mondiale utilisant des techniques dans un type de menace que les experts en cybersécurité n'avaient jamais vu auparavant ». L’entreprise fait également remarquer que les poursuites judiciaires contre SolarWinds et ses employés pourraient avoir un effet « dissuasif » sur les divulgations de failles. « Le seul moyen de prévenir les attaques sophistiquées et généralisées par des Etats comme Sunburst est de mettre en place des partenariats public-privé avec le gouvernement », a déclaré la société.