L’Intercontinental Exchange (ICE) paiera une pénalité de 10 millions de dollars pour régler les accusations portées par la Securities and Exchange Commission (SEC) des États-Unis après avoir omis de s’assurer que ses filiales ont rapidement signalé une violation de la sécurité VPN en avril 2021.
ICE est une société américaine cotée au Fortune 500 qui possède et exploite des bourses financières et des chambres de compensation dans le monde entier, y compris la Bourse de New York (NYSE). En 2023, elle employait plus de 13 000 personnes et a déclaré un chiffre d’affaires total de 9,903 milliards de dollars.
Comme l’exige la Conformité et l’intégrité des systèmes de réglementation (Réglementation SCI), les entreprises doivent immédiatement informer la SEC des intrusions d’incidents de sécurité et fournir une mise à jour dans les 24 heures, à moins qu’elles ne déterminent que l’impact sur leurs opérations ou sur les acteurs du marché est négligeable.
« Les intimés soumis à Reg SCI n’ont pas informé la SEC de l’intrusion en cause comme requis. C’est plutôt le personnel de la Commission qui a contacté les répondants dans le processus d’évaluation des rapports sur des vulnérabilités cybernétiques similaires », a déclaré la SEC.
« Comme allégué dans l’ordonnance, ils ont plutôt mis quatre jours à évaluer son impact et à conclure en interne qu’il s’agissait d’un événement de minimis. Lorsqu’il s’agit de cybersécurité, en particulier d’événements survenant chez des intermédiaires critiques du marché, chaque seconde compte et quatre jours peuvent être une éternité. »
ICE a découvert l’incident le 15 avril 2021, après qu’un tiers l’a informé d’une potentielle intrusion dans le système liée à une vulnérabilité inconnue de son réseau privé virtuel (VPN).
Violé par des pirates informatiques présumés
Une enquête ultérieure a révélé qu’un auteur de menace avait déployé une charge utile malveillante sur un périphérique VPN compromis utilisé pour accéder à distance à son réseau d’entreprise.
« Des acteurs de la menace sophistiqués, considérés comme des acteurs étatiques, ont installé un code webshell sur un périphérique VPN compromis dans le but de collecter des informations transitant par ce périphérique, notamment le nom de l’employé, le mot de passe et les codes d’authentification multifactoriels. Ces données pourraient permettre à l’auteur de la menace d’accéder aux réseaux internes de l’entreprise », révèle l’ordonnance de la SEC
Cependant, l’équipe de sécurité d’ICE a pu déterminer que l’accès de l’attaquant était limité à un seul périphérique VPN compromis, même si elle a trouvé des preuves que l’auteur de la menace était capable d’exfiltrer « les données de configuration VPN et certaines métadonnées des utilisateurs ICE. »
La SEC affirme que le personnel d’ICE n’a pas informé les responsables juridiques et de la conformité des filiales de l’entreprise de cette violation de la sécurité VPN pendant plusieurs jours, violant à la fois les règles Reg SCI et les propres procédures internes de signalement des cyberincidents d’ICE. En raison de cet échec, les filiales d’ICE n’ont pas évalué correctement l’intrusion et n’ont pas respecté leurs obligations de divulgation Reg SCI.
ICE et ses filiales ont consenti à l’ordonnance de la SEC, reconnaissant que les filiales avaient violé les dispositions de notification du Règlement SCI et qu’ICE était à l’origine de ces violations.
Sans admettre ni nier les conclusions de la SEC, ICE et ses filiales ont également accepté une ordonnance de cesser et de s’abstenir les obligeant à cesser de violer les règles de Reg SCI et à payer une pénalité civile de 10 millions de dollars.