En dépit de l’Affaire SolarWinds, une énorme cyberattaque ayant exposé 18.000 de ses clients à des pirates des services de renseignement étrangers russes, le fournisseur de gestion d’infrastructure informatique a déclaré vendredi qu’il n’a procédé à aucune baisse de la rémunération de ses cadres dirigeants. Ces derniers ont donc touché, au total, pour 6 personnes, la somme de 65 millions de dollars en 2020. Les documents déposés auprès de la Securities and Exchange Commission (SEC), le gendarme américain de la bourse, le confirment.
Près de 92% de cette rémunération consiste en des actions. Le PDG Kevin Thompson a reçu 23,9 millions de dollars en actions, le directeur technique Woong Joseph Kim 8,8 millions, le directeur des revenus David Gardiner 7,9 millions, le directeur financier Barton Kalsu 6,9 millions, le directeur administratif Jason Bliss 6,3 millions et le président de SolarWinds MSP John Pagliuca 5,9 millions. Comme pour se dédouaner, SolarWinds précise que la valeur totale des attributions d’actions n’est pas réalisée par le cadre dirigeant à moins qu’il ne reste employé pendant toute la période d’acquisition applicable, ce qui peut aller jusqu’à quatre ans.
Kevin Thompson a été PDG de la société pendant 10 ans, de 2010 à fin 2020. Il a donc été à la tête de l’entreprise entre le moment où les pirates ont pris pied dans le logiciel Orion et celui où la nouvelle de l’attaque a été rendue publique. Bien qu’il ait quitté son poste désormais, SolarWinds a accepté de lui verser 312 500 dollars supplémentaires jusqu’à la fin du mois de mai pour l’aider à se défendre dans le cadre des enquêtes en cours. Selon les documents déposés auprès de la SEC, sa rémunération totale s’est élevée à 25,5 millions de dollars, y compris une prime de 875.000 dollars. Ce montant est 344 fois supérieur à la rémunération annuelle médiane (soit 74.180 dollars) des 3.339 employés de SolarWinds.
Si les investisseurs s’inquiètent de ces pratiques salariales et de cette inégalité de revenus colossale, leur recours est limité. Le monde de l’entreprise n’est pas une démocratie. Un vote des actionnaires sur le plan de rémunération des dirigeants est prévu le vendredi 28 mai mais ce vote n’est pas contraignant, y compris en cas d’opposition de la majorité.
La majeure partie du capital de SolarWinds est détenue par Silver Lake et Thoma Bravo. Ils ont racheté l’entreprise pour 4,5 milliards de dollars en février 2016 puis l’ont réintroduite en bourse fin 2018. Les sociétés de capital-investissement ont vendu 286 millions de dollars d’actions SolarWinds quelques jours seulement avant que l’entreprise n’annonce la nomination d’un nouveau PDG et ne révèle la cyberattaque. Elles ont déclaré qu’elles n’étaient pas au courant de cela au moment de la vente.
Plusieurs actions collectives accusent SolarWinds, Kevin Thompson et Barton Kalsu de déclarations trompeuses sur la sécurité de l’entreprise, ce que la société conteste. Celle-ci confirme en revanche faire l’objet « de nombreuses enquêtes en vertu de diverses réglementations sur la protection de la vie privée », comme le règlement général sur la protection des données (RGPD), et s’attend à devoir prendre en charge les coûts liés à ces investigations. Rien qu’au cours du premier trimestre de 2021, SolarWinds estime à près de 19 millions de dollars ses dépenses liées à la cyberattaque. Cette somme s’ajoute aux 3,5 millions de dollars que SolarWinds a dépensés courant décembre 2020 pour sonder l’étendue du piratage. Notre confrère de CRN précise que SolarWinds a souscrit une assurance cybersécurité de 15 millions de dollars qui devrait couvrir une bonne partie de ces coûts.