SEC Drops SolarWinds Case After Years of High-Stakes Cybersecurity Scrutiny

2 minute de lecture

Mis à jour : November 21, 2025

Fin de la poursuite contre SolarWinds

La Securities and Exchange Commission (SEC) américaine a mis fin à sa procédure judiciaire contre SolarWinds et son responsable de la sécurité de l’information, Timothy G. Brown. Cette action faisait suite à l’attaque par violation de la chaîne d’approvisionnement de 2020, la SEC accusant l’entreprise d’avoir induit les investisseurs en erreur concernant ses pratiques de cybersécurité.

Les accusations initiales, formulées en octobre 2023, portaient sur des fraudes et des défaillances de contrôle interne, affirmant que SolarWinds avait exagéré ses mesures de sécurité et minimisé ou omis de divulguer des risques connus. La SEC soutenait que la direction avait ignoré des signaux d’alerte et n’avait pas protégé adéquatement ses actifs.

Cependant, une décision du tribunal américain du district sud de New York en juillet 2024 a rejeté une grande partie de ces allégations, estimant qu’elles ne prouvaient pas de manière plausible de telles défaillances et qu’elles s’appuyaient sur le recul et la spéculation.

La SEC avait par la suite ciblé d’autres entreprises, dont Avaya, Check Point, Mimecast et Unisys, pour des divulgations trompeuses relatives à la même attaque.

Le PDG de SolarWinds a déclaré que cette issue marque la fin d’une période difficile, affirmant que l’entreprise en sort renforcée et mieux préparée.

Points Clés :

La SEC a abandonné son procès contre SolarWinds et son CISO.
Le procès portait sur des accusations de tromperie des investisseurs concernant les pratiques de cybersécurité après l’attaque de 2020.
Une décision de justice antérieure avait rejeté une partie significative des allégations de la SEC.
L’attaque de 2020 a été attribuée à un acteur étatique russe, APT29.

Vulnérabilités :

Les allégations initiales de la SEC portaient sur des “échecs de contrôle interne” et la non-divulgation de “risques et vulnérabilités connus” en matière de cybersécurité.
L’article ne mentionne pas de CVE spécifiques associées à ces allégations ou à l’attaque elle-même.

Recommandations :

L’article ne contient pas de recommandations directes de la part de la SEC ou de SolarWinds dans le cadre de cette affaire spécifique. Cependant, le contexte de l’affaire souligne l’importance pour les entreprises de maintenir des pratiques de cybersécurité robustes et de communiquer de manière transparente et précise avec leurs investisseurs concernant les risques de sécurité.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

SEC Drops SolarWinds Case After Years of High-Stakes Cybersecurity Scrutiny

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast