Deux décisions de justice ont des implications en matière de cybersécurité

Un juge de cour de district américain a rejeté la plupart des accusations portées par la Securities and Exchange (SEC) à l’encontre de Tim Brown, OPSI chez SolarWinds, à la suite de la désormais célèbre cyberattaque qui a entraîné l’injection d’un malware dans une plateforme de gestion des services informatiques (ITSM) de SolarWinds, largement utilisée par les entreprises, les agences gouvernementales et les fournisseurs de services informatiques.

En octobre 2023, la SEC a porté plainte contre SolarWinds et M. Brown, les accusant d'avoir trompé les investisseurs sur la solidité des mesures de cybersécurité de SolarWinds et d'avoir minimisé ou omis de divulguer les risques entre 2017 et 2021. Dans une décision de 107 pages, le juge de district américain Paul Engelmayer à Manhattan a toutefois déclaré que les accusations concernant les divulgations faites après l'attaque « n'invoquent pas de manière plausible des lacunes susceptibles de donner lieu à des poursuites dans le signalement par l'entreprise du piratage de cybersécurité. Ils s’appuient de manière inacceptable sur l'examen a posteriori et la spéculation. »

Cela ne veut pas dire que les accusés sont libres et innocentés pour l'instant. M. Engelmayer a écrit que la SEC pourrait poursuivre les poursuites liées à la déclaration de sécurité de 2017 de SolarWinds, dans laquelle les allégations faisant état de politiques et de pratiques strictes en matière de cybersécurité sont considérées par la SEC comme « matériellement trompeuses et fausses ». Selon ses conclusions, « l'entreprise n'a même pas répondu aux exigences les plus élémentaires en matière de cybersécurité », a écrit le juge. La SEC n'a pas encore commenté la décision, mais elle dispose maintenant de deux semaines pour répondre aux accusations restantes, que SolarWinds entend continuer à réfuter.

Dans le même temps, d'autres procédures judiciaires peuvent avoir un impact sur la capacité de la SEC à « interpréter » toute règle qui n'a pas été spécifiquement adoptée par le Congrès. La Cour suprême a réduit le pouvoir des agences fédérales d'interpréter les lois qu'elles administrent et a décidé que les tribunaux de première instance devaient s'appuyer sur leur propre interprétation de la loi.

Plus précisément, la Cour a annulé une décision historique de 1984 dans l'affaire Chevron c. Natural Resources Defense Council qui a créé un précédent, appelé doctrine Chevron, stipulant que si le Congrès n'a pas directement abordé la question au centre d'un litige, un tribunal est tenu de confirmer l'interprétation de la loi par une agence, pour autant qu'elle soit raisonnable. Mais dans une décision de 35 pages, la Cour a maintenant déterminé que cette doctrine est « fondamentalement malavisée ». Bien entendu, cette décision aura probablement de profondes implications qui affecteront non seulement les activités de la SEC, mais aussi presque toutes les réglementations de conformité jamais promulguées.

Il pourrait falloir quelques années pour que toutes ces procédures judiciaires se déroulent, mais en l'absence d'un mandat spécifique du Congrès, chaque tribunal pourrait devoir interpréter comment une loi s'applique, avec tous les appels qui en découleront inévitablement.

De toute évidence, la plupart des professionnels de la cybersécurité préféreraient ne pas se retrouver en position de se défendre contre toute accusation. Aucune de ces décisions n'élimine cette perspective. Elles modifient toutefois la nature du danger potentiel auquel les acteurs sont confrontés. Si la décision rendue dans l'affaire SolarWinds est maintenue, la preuve de la malversation devra très probablement inclure beaucoup plus de détails. L'arrêt Chevron, quant à lui, signifie que c'est un tribunal, et non une agence fédérale, qui déterminera si une allégation est réellement justifiée.

Quoi qu'il en soit, les professionnels de la cybersécurité doivent s'assurer qu'ils connaissent leurs droits et obligations juridiques avant d'apposer leur signature sur tout document faisant état de l'état actuel de la cybersécurité au sein de leur entreprise.