La SEC poursuit un dirigeant après une cyberattaque, accusant celui-ci de ne pas avoir divulgué les risques

En octobre 2023, la Securities and Exchange Commission (SEC) a porté des accusations contre SolarWinds Corporation et son chef de la sécurité de l’information, alléguant des actes frauduleux et une défaillance des contrôles relativement à des vulnérabilités informatiques qui ont donné lieu à un piratage de 2018 à au moins 2020.

Cette affaire est un autre exemple du risque accru de poursuites liées aux cyberrisques auquel s’exposent les administrateurs et les dirigeants. Elle démontre l’importance que les organismes de réglementation financière accordent à l’atténuation, à la déclaration et à la gouvernance des cyberrisques.

Les faits relatifs à la poursuite

SolarWinds a fait l’objet d’une cyberattaque prolongée par un groupe possiblement lié au renseignement russe. Étant donné que SolarWinds est un important fournisseur de logiciels, la cyberattaque a touché des clients des secteurs privé et public

Bien que SolarWinds ait déclaré les risques génériques et hypothétiques, la SEC affirme que la société et son chef de la sécurité de l’information ont engagé leur responsabilité en ne déclarant pas certains cyberrisques connus, surestimant ainsi sa posture de sécurité et induisant les investisseurs en erreur. Selon la SEC, l’analyse exacte des cybercontrôles d’une société constitue une information importante pour les investisseurs. En ce qui concerne la responsabilité personnelle, la SEC allègue que le chef de la sécurité de l’information était au courant des vulnérabilités, mais ne les a pas résolues et n’a pas signalé les risques à l’interne.

La société est accusée d’avoir contrevenu à la Securities Act of 1933, à la Securities Exchange Act of 1934 et à l’Exchange Act, et le chef de la sécurité de l’information, d’avoir aidé et encouragé la conduite de la société. La SEC demande la restitution des profits et l’imposition de sanctions civiles, ainsi qu’une interdiction pour le chef de la sécurité de l’information d’occuper un poste de direction.

Cette action de mise en application fait suite à une action collective en valeurs mobilières concernant la chute du cours de l’action de la société après que celle-ci a déclaré la cyberattaque en 2020. Ce litige a été réglé pour 26 millions de dollars américains en 2022. SolarWinds a déclaré publiquement que son assurance couvrait les frais de règlement du litige.

Analyse et impact

Cette action de mise en application fait suite à l’adoption récente de règles sur la communication de l’information en matière de cybersécurité. Depuis septembre 2023, la SEC exige que les sociétés ouvertes américaines : 1) déclarent les cyberincidents importants, et 2) déclarent périodiquement leurs processus d’évaluation et d’atténuation des risques, y compris le rôle de la direction et la surveillance de ce processus par le conseil d’administration.

L’affaire SolarWinds souligne l’importance pour la direction et le conseil d’administration de surveiller en tout temps les cyberrisques tant aux États-Unis qu’au Canada. Les entreprises doivent continuer d’affecter des ressources suffisantes à l’évaluation et à l’amélioration de la cybersécurité et à la surveillance des menaces, signaler les vulnérabilités et les stratégies d’atténuation à la direction et au conseil d’administration et déclarer régulièrement leur posture de sécurité en s’assurant qu’elle est à jour, propre à l’entreprise et au secteur d’activité et équilibrée.

Le service du contentieux de l’entreprise doit être en mesure de répondre aux questions des dirigeants et des administrateurs sur leurs fonctions et les risques de responsabilité personnelle. Il pourrait être utile de leur offrir une formation sur les procédures internes, les obligations fiduciaires et autres ou les ressources d’assurance. Il pourrait même y avoir un rôle pour un conseiller juridique distinct qui répondrait à leurs préoccupations au sujet de leur responsabilité personnelle.

Il y a lieu de revoir régulièrement la couverture d’assurance afin de s’assurer qu’elle tient compte des coûts liés aux poursuites qui pourraient être intentées par les consommateurs et les actionnaires ainsi qu’aux procédures de mise en application réglementaire.

Le processus d’évaluation et d’atténuation des risques doit aussi comprendre les risques liés aux attaques contre les fournisseurs et les partenaires de la chaîne d’approvisionnement; en effet, les entreprises doivent s’assurer que leur stratégie de gestion des risques liés aux tiers suit leur cadre de gestion des cyberrisques.