Les législateurs américains exigent une enquête sur les pratiques de sécurité de la SEC suite à une violation
- Les sénateurs exigent une enquête sur la SEC suite à une violation de sécurité
- La SEC aurait dû utiliser des mesures de cybersécurité plus strictes selon les législateurs
- L'annonce frauduleuse de la SEC a entraîné une baisse du prix du Bitcoin, mais aucune violation spécifique n'a été identifiée
Les sénateurs Ron Wyden et Cynthia Lummis ont demandé une enquête auprès de la Securities and Exchange Commission (SEC) des États-Unis dans une lettre du 11 janvier.
Les deux législateurs ont demandé à l'inspecteur général de la SEC, Deborah Jeffrey, d'ouvrir une enquête sur une faille de sécurité survenue deux jours plus tôt ainsi que sur le non-respect par l'agence des meilleures pratiques de cybersécurité.
La violation a vu une partie inconnue accéder illégalement au compte X de la SEC et publier une fausse annonce suggérant que l'agence avait approuvé un ETF Bitcoin au comptant. Bien que la SEC ait effectivement approuvé les ETF de ce type un jour plus tard, l'agence a déclaré que le message original était faux et a confirmé la violation.
Les sénateurs ont déclaré que la SEC aurait dû utiliser une authentification multifacteur et des jetons matériels résistants au phishing (c'est-à-dire des clés de sécurité). Ils ont demandé que l'enquête se concentre sur ces questions et trouve d'autres failles de sécurité. Les sénateurs ont demandé une mise à jour de l'enquête d'ici le 12 février 2024.
La SEC a-t-elle enfreint des règles ?
Les sénateurs Wyden et Lummis n'ont pas suggéré que la SEC avait violé des règles spécifiques à travers les oublis qui ont permis que la violation se produise.
Les deux sénateurs ont noté que l'Office of Management and Budget (OMB) de la Maison Blanche a publié une note en janvier 2022 exigeant que les agences utilisent une authentification multifacteur et des clés de sécurité. Bien qu'ils aient reconnu que cette politique ne s'applique pas aux sites de médias sociaux, ils ont déclaré que le mémo indique clairement que de telles fonctionnalités sont nécessaires pour se protéger contre les attaques.
Les sénateurs n'ont pas laissé entendre que la SEC avait violé certaines règles par lesquelles elle oblige les entreprises à divulguer les violations de valeurs mobilières. Cependant, les sénateurs ont fait preuve d'hypocrisie dans ce domaine : ils ont qualifié les échecs de la SEC d'« inexcusables, en particulier compte tenu des nouvelles exigences de l'agence en matière de divulgation en matière de cybersécurité ».
Les sénateurs ont également souligné dans leur plainte le « potentiel évident » de manipulation du marché. En effet, Bitcoin a subi des pertes soudaines lorsque la SEC a révélé la fausse nature de l'annonce. Le prix du Bitcoin (BTC) est passé de 46 865 $ à 45 415 $ dans les deux heures suivant 21h00 UTC le 9 janvier, soit une perte d'environ 3 %.
Malgré la nature critique des échecs de la SEC, l'absence de violations spécifiques rend difficile la clarté des conséquences auxquelles l'agence pourrait être confrontée.
