contact@innovations.fr
Publier mon innovation

SEC Condamne 4 Entreprises Pour Dissimulation de Cyberattaques

Accueil - Technologies et Avenirs - Technologie Avancée - SEC Condamne 4 Entreprises Pour Dissimulation de Cyberattaques
Innovationsfr
octobre 22, 2024

SEC Condamne 4 Entreprises Pour Dissimulation de Cyberattaques

Dans un coup de semonce pour les entreprises victimes de cyberattaques, la Securities and Exchange Commission (SEC) américaine vient d'infliger des amendes totalisant 7 millions de dollars à quatre sociétés. Leur tort ? Avoir fourni des informations "trompeuses" aux investisseurs sur l'ampleur et l'impact du désormais célèbre piratage de SolarWinds en 2020. Un signal fort de la part du gendarme boursier américain, bien décidé à responsabiliser les entreprises sur leur communication en matière de cybersécurité.

Des amendes salées pour Check Point, Mimecast, Unisys et Avaya

Parmi les entreprises épinglées, on retrouve deux acteurs majeurs de la cybersécurité : Check Point, qui devra s'acquitter d'une pénalité de 995 000 dollars, et Mimecast, condamnée à payer 990 000 dollars. Les deux autres sociétés sanctionnées sont les géants des technologies Unisys (amende de 4 millions) et Avaya (1 million). Selon la SEC, chacune a commis différentes violations ayant eu pour effet de minimiser "par négligence" les dommages subis.

Check Point et Mimecast ont joué la carte de la minimisation

Malgré leur expertise en cybersécurité, Check Point et Mimecast sont accusées d'avoir délibérément minimisé l'impact du piratage dans leurs communications. Check Point aurait ainsi décrit les intrusions et les risques en "termes génériques", tandis que Mimecast aurait omis de révéler l'ampleur du code et des identifiants volés par les hackers.

Unisys et Avaya ont présenté les risques comme hypothétiques

De leur côté, Unisys et Avaya ont présenté les risques de cyberattaques comme purement hypothétiques dans leurs déclarations, alors même qu'elles avaient déjà été touchées par le hack de SolarWinds. Unisys a ainsi été victime de deux brèches liées à SolarWinds, tandis qu'Avaya a dissimulé l'accès des pirates à "au moins 145 fichiers" de son environnement de partage cloud, en plus des e-mails.

La SEC durcit le ton sur les "disclosures" en matière de cyber-risques

Pour Sanjay Wadhwa, directeur par intérim de la division Enforcement de la SEC, ces entreprises "ont aggravé la situation de leurs actionnaires et du public investisseur en fournissant des informations trompeuses sur les incidents de cybersécurité qu'elles ont rencontrés". Une faute d'autant plus grave selon lui qu'elle a laissé les investisseurs "dans l'ignorance de l'ampleur réelle des incidents".

Il incombe aux entreprises cotées en bourse de ne pas victimiser davantage leurs actionnaires en fournissant des informations trompeuses sur les incidents de cybersécurité qu'elles ont rencontrés.

Sanjay Wadhwa, SEC

Depuis quelques années, le régulateur boursier américain a considérablement renforcé les obligations de transparence ("disclosures") des entreprises cotées en matière de cyberattaques et de leurs conséquences. Un durcissement illustré par cette série d'amendes, qui sonne comme un avertissement pour l'ensemble des sociétés.

Les entreprises plaident la coopération et les "bonnes intentions"

Face à ces accusations, les quatre entreprises concernées ont toutes choisi de coopérer avec l'enquête de la SEC et d'accepter de payer les amendes, sans pour autant "admettre ou nier" les conclusions de l'autorité. Elles mettent en avant leur bonne foi et les mesures prises pour renforcer leur cybersécurité depuis le piratage de SolarWinds.

  • Avaya souligne que la SEC a reconnu sa "coopération volontaire" et les "mesures prises pour améliorer les contrôles de cybersécurité de l'entreprise".
  • Check Point affirme n'avoir trouvé "aucune preuve d'accès à des données clients, du code ou d'autres informations sensibles", tout en jugeant que "coopérer et régler le litige avec la SEC était dans son meilleur intérêt".
  • Mimecast assure de son côté avoir fait "des divulgations étendues et s'être engagé de manière proactive et transparente avec ses clients et partenaires, même ceux qui n'étaient pas affectés".

Reste que pour la SEC, "croire" respecter ses obligations en matière de transparence ne suffit plus. À l'heure où les cyberattaques représentent une menace majeure et croissante pour les entreprises, le régulateur entend bien responsabiliser les sociétés cotées sur leur devoir d'information envers les investisseurs. Un signal clair qui devrait inciter les entreprises à revoir leur approche en matière de "disclosures" cyber.

Mots Clés:
Partager:

Steven Soarez Rédacteur Web

Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.

Autres Sujets

Ajouter Un Commentaire

Chercher

Beauty and lifestyle influencer

Follow my journey on all Social Media channels

Alienum phaedrum torquatos nec eu, vis detraxit periculis ex, nihilmei. Mei an pericula euripidis, hinc partem ei est.
facebook
5M+
Facebook followers
Follow Me
youtube
4.6M+
Youtube Subscribers
Subscribe Me
tiktok
7M+
Tiktok Followers
Follow Me
instagram
3.4M+
Instagram Followers
Follow Me