La Securities and Exchange Commission a accusé quatre sociétés publiques actuelles et anciennes – Unisys Corp., Avaya Holdings Corp., Check Point Software Technologies Ltd et Mimecast Limited – d’avoir fait des divulgations matériellement trompeuses concernant les risques et les intrusions en matière de cybersécurité. La SEC a également accusé Unisys de violations des contrôles et des procédures de divulgation.
Les accusations portées contre les quatre sociétés résultent d’une enquête impliquant des sociétés publiques potentiellement impactées par la compromission du logiciel Orion de SolarWinds et par d’autres activités connexes.
Les sociétés ont accepté de payer les sanctions civiles suivantes pour régler les accusations de la SEC :
- Unisys paiera une amende civile de 4 millions de dollars ;
- Avaya. paiera une amende civile de 1 million de dollars ;
- Check Point paiera une amende civile de 995 000 $ ; et
- Mimecast paiera une amende civile de 990 000 $.
Les accusations
Selon les ordres de la SEC, Unisys, Avaya et Check Point ont appris en 2020, et Mimecast en 2021, que l’acteur malveillant probablement à l’origine du piratage de SolarWinds Orion avait accédé à leurs systèmes sans autorisation, mais chacun a négligemment minimisé son incident de cybersécurité dans son public. divulgations.
L’ordonnance de la SEC contre Unisys constate que la société a décrit ses risques liés aux événements de cybersécurité comme hypothétiques, même si elle savait qu’elle avait subi deux intrusions liées à SolarWinds impliquant l’exfiltration de gigaoctets de données. L’ordonnance conclut également que ces divulgations matériellement trompeuses résultent en partie des contrôles de divulgation déficients d’Unisys.
L’ordonnance de la SEC contre Avaya indique que l’auteur de la menace avait accédé à un « nombre limité de [the] Les messages électroniques de l’entreprise », alors qu’Avaya savait que l’acteur malveillant avait également accédé à au moins 145 fichiers dans son environnement de partage de fichiers cloud.
L’ordonnance de la SEC contre Check Point indique qu’elle était au courant de l’intrusion, mais qu’elle a décrit les cyber-intrusions et les risques qui en découlent en termes génériques.
L’ordonnance accusant Mimecast révèle que la société a minimisé l’attaque en omettant de divulguer la nature du code exfiltré par l’acteur malveillant et la quantité d’informations d’identification cryptées auxquelles l’acteur malveillant a accédé.
“Minimiser l’ampleur d’une violation importante de la cybersécurité est une mauvaise stratégie”, a déclaré Jorge G. Tenreiro, chef par intérim de l’unité Crypto Assets and Cyber. « Dans deux de ces cas, les facteurs de risque pertinents en matière de cybersécurité ont été formulés de manière hypothétique ou générique alors que les entreprises savaient que les risques annoncés s’étaient déjà matérialisés. Les lois fédérales sur les valeurs mobilières interdisent les demi-vérités, et il n’y a aucune exception pour les déclarations contenues dans les informations sur les facteurs de risque.
Les ordonnances de la SEC concluent que chaque société a violé certaines dispositions applicables du Securities Act de 1933, du Securities Exchange Act de 1934 et des règles connexes. Sans admettre ni nier les conclusions de la SEC, chaque société a accepté de cesser toute violation future des dispositions mises en cause et de payer les pénalités décrites ci-dessus. Chaque entreprise a coopéré au cours de l’enquête, notamment en fournissant volontairement des analyses ou des présentations qui ont contribué à accélérer l’enquête du personnel et en prenant volontairement des mesures pour renforcer ses contrôles de cybersécurité.
La SEC avait précédemment annoncé des accusations contre SolarWinds et son RSSI pour avoir surestimé les pratiques de cybersécurité de l’entreprise et sous-estimé ou omis de divulguer les risques de cybersécurité connus, ainsi que pour avoir omis de traiter ces risques.
