La SEC inflige une amende de 10 millions de dollars à la société mère du NYSE pour avoir omis de signaler une cyberattaque

L'Intercontinental Exchange (ICE) paiera une amende de 10 millions de dollars pour avoir omis d'informer les autorités d'une cyber-intrusion, selon une annonce de la Securities and Exchange Commission (SEC) des États-Unis.

La faille, découverte en avril 2021, impliquait un code malveillant inséré dans un appareil VPN pour accéder au réseau d’entreprise d’ICE. La SEC affirme qu'ICE a rapidement identifié la menace, mais n'a pas informé les responsables juridiques et chargés de la conformité de ses filiales, y compris la Bourse de New York, pendant plusieurs jours.

La conformité et l’intégrité des systèmes de réglementation (Regulation SCI) de l’agence exigent que les entreprises informent immédiatement la SEC de tout incident de cybersécurité important. Le directeur de l'application de la SEC, Gurbir S. Grewal, a déclaré :

« Lorsqu’il s’agit de cybersécurité, en particulier lors d’événements survenant chez des intermédiaires critiques du marché, chaque seconde compte et quatre jours peuvent être une éternité. »

ICE est à l'origine du plus grand réseau mondial de bourses et de chambres de compensation. Ses filiales comprennent des bourses comme la Bourse de New York (NYSE), ICE Futures U.S. et Europe, ainsi que des chambres de compensation et des fournisseurs de données.

Les mesures coercitives de la SEC ont touché plusieurs filiales d'ICE, notamment Archipelago Trading Services, Inc., New York Stock Exchange LLC, NYSE American LLC, NYSE Arca, Inc., ICE Clear Credit LLC, ICE Clear Europe Ltd., NYSE Chicago, Inc., et NYSE National, Inc. En outre, la Securities Industry Automation Corporation a accepté une ordonnance de cessation et d'abstention en plus de la sanction pécuniaire.

En réponse aux amendes, les commissaires de la SEC, Hester Peirce et Mark Uyeda, ont publié une déclaration qualifiant l'amende de « réaction excessive » à un « incident minime ».

"Cette pénalité disproportionnée pour défaut de signaler en temps opportun un incident que les filiales d'ICE SCI ont finalement déterminé comme étant de minimis nous suggère que la Commission est plus préoccupée par l'imposition de sanctions importantes que par la garantie que les entités importantes du marché remédient aux vulnérabilités technologiques."

Selon Peirce et Uyeda, l’amende contribue à la perception selon laquelle « le régime de sanctions de la Commission est davantage un outil permettant de générer des chiffres pour les statistiques de fin d’année et moins un moyen d’obtenir des résultats qui renforcent l’intégrité du marché ». Les commissaires avaient critiqué l’approche de la SEC à l’égard des sociétés de cryptographie dans le passé.

Magazine : Que font réellement les teneurs de marché des cryptomonnaies ? Liquidité ou manipulation