SolarWinds accepte de verser 26 millions de dollars d’indemnités pour régler un procès avec ses actionnaires dans le cadre de l’affaire SolarWinds.
Pour rappel, en 2019, les infrastructures informatiques de SolarWinds ont été infiltrées par des espions russes qui ont utilisé un accès illicite au réseau afin de compromettre les serveurs du fournisseur. Les pirates ont glissé une porte dérobée cachée dans le logiciel de surveillance informatique Orion de SolarWinds et ont transmis ces « mises à jour » aux clients de SolarWinds. Une fois le code malveillant installé chez les utilisateur·ice·s finaux, les espions ont eu accès à des centaines d’organismes clients de SolarWinds. La faille de sécurité a été découverte par Mandiant en décembre 2020.
En janvier 2021, les actionnaires de la société de logiciels ont intenté un procès à SolarWinds. Sept mois plus tard, l’entreprise a demandé à un juge fédéral américain d’annuler le procès, en insistant sur le fait qu’elle était « victime de la cyberattaque la plus sophistiquée de l’histoire » et en décrivant les manœuvres juridiques de certains de ses petits actionnaires comme une tentative de « convertir ce cybercrime sophistiqué » en une affaire de fraude boursière.
Bref, SolarWinds ne reconnaît aucune faute.
Outre la conclusion d’un accord de règlement le 28 octobre, SolarWinds déclare avoir reçu le même jour une lettre de la Securities and Exchange Commission (SEC), le gendarme américain de la bourse, l’avertissant d’une potentielle action coercitive contre l’entreprise ou une personne de l’entreprise « en alléguant des violations de certaines dispositions des lois fédérales américaines sur les valeurs mobilières en ce qui concerne ses divulgations et ses déclarations publiques en matière de cybersécurité, ainsi que ses contrôles internes et ses contrôles et procédures de divulgation ».
Le régulateur américain a commencé à enquêter sur le problème de sécurité d’Orion en 2021.
SolarWinds précise avoir l’intention de répondre à l’avis de la SEC.