La plainte allgue que, depuis au moins son introduction en bourse en octobre 2018 jusqu’ au moins son annonce en dcembre 2020 qu’elle tait la cible d’une cyberattaque massive de prs de deux ans, surnomme « SUNBURST », SolarWinds et Brown ont fraud les investisseurs en survaluant les pratiques de cyberscurit de SolarWinds et en sous-estimant ou en omettant de divulguer des risques connus. Dans les documents qu’elle a dposs auprs de la SEC au cours de cette priode, SolarWinds aurait tromp les investisseurs en ne divulguant que des risques gnriques et hypothtiques, alors que l’entreprise et Brown connaissaient les lacunes spcifiques des pratiques de cyberscurit de SolarWinds ainsi que les risques de plus en plus levs auxquels l’entreprise tait confronte la mme poque.
Comme l’affirme la plainte, les dclarations publiques de SolarWinds sur ses pratiques et ses risques en matire de cyberscurit taient en contradiction avec ses valuations internes, notamment une prsentation de 2018 prpare par un ingnieur de l’entreprise et partage en interne, y compris avec Brown, selon laquelle la configuration de l’accs distance de SolarWinds n’tait « pas trs scurise » et que quelqu’un exploitant la vulnrabilit « peut fondamentalement faire n’importe quoi sans que nous le dtections jusqu’ ce qu’il soit trop tard« , ce qui pourrait entraner une « perte de rputation et financire majeure » pour SolarWinds. De mme, comme le prtend la plainte de la SEC, les prsentations de 2018 et 2019 de Brown indiquaient, respectivement, que « l’tat actuel de la scurit nous laisse dans un tat trs vulnrable pour nos actifs critiques » et que « l’accs et les privilges aux systmes/donnes critiques sont inappropris« .
En outre, la plainte de la SEC allgue que de multiples communications entre les employs de SolarWinds, y compris Brown, tout au long de 2019 et 2020, ont remis en question la capacit de l’entreprise protger ses actifs critiques contre les cyberattaques. Par exemple, selon la plainte de la SEC, en juin 2020, alors qu’il enqutait sur une cyberattaque contre un client de SolarWinds, Brown a crit qu’il tait « trs proccupant » que l’attaquant ait pu chercher utiliser le logiciel Orion de SolarWinds dans des attaques plus importantes, car « nos backends ne sont pas si rsilients » ; et un document interne de septembre 2020 partag avec Brown et d’autres personnes indiquait que « le volume de problmes de scurit identifis au cours du mois dernier a dpass la capacit des quipes d’ingnierie rsoudre.«
La plainte de la SEC affirme que Brown tait conscient des risques et des vulnrabilits de SolarWinds en matire de cyberscurit, mais qu’il n’a pas rsolu les problmes ou, parfois, ne les a pas suffisamment soulevs au sein de l’entreprise. En raison de ces manquements, l’entreprise n’aurait pas t en mesure de fournir des garanties raisonnables que ses actifs les plus prcieux, notamment son produit phare Orion, taient protgs de manire adquate.
SolarWinds a fait une dclaration incomplte sur l’attaque de SUNBURST dans un formulaire 8-K dpos le 14 dcembre 2020, la suite de quoi le cours de ses actions a chut d’environ 25 % au cours des deux jours suivants et d’environ 35 % la fin du mois.
« Nous allguons que, pendant des annes, SolarWinds et Brown ont ignor les signaux d’alarme rpts concernant les cyber-risques de SolarWinds, qui taient bien connus dans l’ensemble de l’entreprise et ont conduit l’un des subordonns de Brown conclure : Nous sommes loin d’tre une entreprise soucieuse de la scurit« , a dclar Gurbir S. Grewal, directeur de la division de l’application des lois de la SEC. « Plutt que de remdier ces vulnrabilits, SolarWinds et Brown se sont engags dans une campagne visant donner une fausse image de l’environnement de cybercontrle de l’entreprise, privant ainsi les investisseurs d’informations matrielles exactes. La mesure d’excution prise aujourd’hui n’accuse pas seulement SolarWinds et Brown d’avoir tromp le public investisseur et de ne pas avoir protg les actifs « joyaux de la couronne » de l’entreprise, mais souligne galement notre message aux metteurs : mettez en uvre des contrles solides calibrs en fonction de votre environnement de risque et informez les investisseurs de vos proccupations connues« .
La plainte de la SEC, dpose dans le district sud de New York, affirme que SolarWinds et Brown ont viol les dispositions antifraude de la loi sur les valeurs mobilires de 1933 et de la loi sur l’change de valeurs mobilires de 1934 ; SolarWinds a viol les dispositions de la loi sur l’change relatives la communication d’informations et aux contrles internes ; et Brown a aid et encourag les violations commises par l’entreprise. La plainte demande une injonction permanente, une restitution avec intrts avant jugement, des sanctions civiles et une interdiction d’exercer les fonctions de dirigeant et d’administrateur l’encontre de Brown.