Piratage de la SEC : le régulateur retient-il une divulgation cruciale ?

À peine deux semaines avant une faille de cybersécurité, la Securities and Exchange Commission (SEC) des États-Unis a été alertée de failles critiques dans ses défenses en matière de cybersécurité. L’alerte a été émise via un rapport publié par le Bureau de l’Inspecteur général (OIG) détaillant les insuffisances de la SEC dans le maintien de mesures de sécurité strictes pour les actifs numériques.

Le rapport, publié par Cotton & Company Assurance and Advisor, souligne la nécessité d’améliorer de toute urgence plusieurs protocoles de sécurité, notamment la gestion des vulnérabilités et l’évaluation des risques.

NOUVEAU : Vous vous souvenez du hack @SECGov X du 9 janvier ? La dernière mise à jour de l’agence du 22 janvier indiquait qu’elle travaillait avec le Bureau de l’Inspecteur général et plusieurs agences extérieures, dont le FBI, sur l’incident.

Mais apparemment, en 2023, la SEC OIG a obtenu un…

– Eleanor Terrett (@EleanorTerrett) 6 mai 2024

Sur la base de ce document, il a été conseillé à la SEC d’améliorer ses contrôles de sécurité de l’information pour inclure la gestion des risques, la formation à la sécurité et les diagnostics continus. Au mépris de ces suggestions, une violation a eu lieu le 9 janvier lorsqu’une entité non autorisée a accédé au compte X de la SEC, trompant le public avec une fausse déclaration concernant l’approbation d’un ETF Bitcoin.

Détails du piratage SEC de janvier

Outre la violation des communications de la SEC, la cyberattaque a eu un impact monétaire important, car des rapports affirment qu’une mauvaise annonce a entraîné 90 millions de dollars de liquidations de marchés.

Cet incident a entraîné une attaque par échange de carte SIM, un stratagème utilisé par les attaquants pour prendre le contrôle du numéro de téléphone d’une victime afin d’échapper aux mesures de sécurité, qui incluent une authentification à deux facteurs et que la SEC n’avait pas mise en place pour le compte en question.

Après l’événement, la SEC a précisé que la violation était limitée aux médias sociaux et n’atteignait pas les systèmes ou données internes. Le point d’entrée des pirates informatiques passait par l’opérateur de télécommunications plutôt que par une compromission directe de l’infrastructure numérique de la SEC, a déclaré l’agence.

Réaction du Congrès et appels à la responsabilité

Cette violation a suscité une réaction immédiate de la part des législateurs, la députée Anne Wagner exprimant ses inquiétudes quant à l’impact du piratage. Décrivant l’incident comme un excellent exemple de manipulation de marché, Wagner a déclaré qu’il avait l’intention de poser davantage de questions à Gary Gensler, président de la SEC, en matière de gouvernance et de réponse après la cyber-attaque.

L’enquête législative a été centrée sur le caractère suffisant de la réaction de la SEC au premier rapport du BIG et sur la possibilité de l’impact de l’inaction du régulateur à la suite du rapport sur la vulnérabilité qui a conduit au piratage de janvier.

Réponse continue de la SEC

Suite à l’attaque, la SEC est surveillée pour montrer des améliorations dans sa posture de cybersécurité. Comme le prétend la SEC, elle continue de travailler à l’amélioration de la solidité de son programme de sécurité de l’information.

Néanmoins, il manque des détails sur la manière dont ces améliorations seront mises en œuvre, ce qui laisse entrevoir des problèmes de transparence et l’efficacité de la réponse de la SEC au rapport du BIG et au cyberincident de janvier.

Le calendrier de l’OIG stipulait que la SEC devait soumettre son plan d’action dans les 45 jours suivant la réception du rapport de décembre, un délai fixé juste avant le piratage. Cela a donné lieu à davantage d’enquêtes sur l’adéquation et la rapidité des procédures administratives de la SEC et sur le respect des recommandations en matière de cybersécurité.

Lire aussi : La SEC reporte sa décision sur l’ETF Invesco Galaxy Ethereum à juillet

L’article SEC Hack : le régulateur retient-il une divulgation cruciale ? est apparu en premier sur Dico Crypto.