Le 9 mars 2023, la Securities and Exchange Commission (SEC) des États-Unis a annoncé le règlement des frais administratifs contre Blackbaud Inc. L’affaire découle des divulgations que Blackbaud a faites aux investisseurs concernant une attaque de ransomware de 2020 qui ciblait le logiciel de gestion des données des donateurs que la société fournit à des organisations à but non lucratif. organisations.
L’ordonnance de la SEC allègue que Blackbaud a initialement annoncé les détails de l’incident sur le site Web de la société et a informé les clients concernés en juillet 2020. Dans la publication sur le site Web et les avis connexes, la société a indiqué que l’acteur de la menace n’a accédé à aucune information sur le compte bancaire du donateur ou sur la sécurité sociale. Nombres. Cependant, quelques jours après ces déclarations, la SEC a observé que le personnel de la technologie et des relations avec la clientèle de l’entreprise avait appris que ces affirmations concernant les informations sur les comptes bancaires et les numéros de sécurité sociale étaient fausses. Néanmoins, selon la SEC, la société a déposé un rapport trimestriel sur le formulaire 10-Q en août 2020 qui traitait de l’incident, mais omettait des informations importantes sur la portée de l’attaque et caractérisait de manière trompeuse le risque d’exfiltration d’informations sensibles sur les donateurs comme hypothétique. Fin septembre 2020, l’ordonnance de la SEC allègue que Blackbaud a révélé pour la première fois que l’attaquant avait accédé aux informations non cryptées du compte bancaire du donateur et aux numéros de sécurité sociale de certains des clients concernés.
L’ordonnance de la SEC conclut que Blackbaud a violé les dispositions antifraude des sections 17(a)(2) et 17(a)(3) du Securities Act de 1933 ; les dispositions de déclaration de l’article 13(a) du Securities Exchange Act de 1934 et les règles 12b-20 et 13a-13 qui en découlent ; et les dispositions sur les contrôles de divulgation de la Règle 13a-15(a). La SEC a accepté l’offre de règlement de Blackbaud, qui comprenait une ordonnance de cesser et de s’abstenir et une amende civile de 3 millions de dollars. Nous notons que ce montant est le triple de la sanction imposée à une autre entreprise publique dans une affaire similaire de 2021.
Le règlement souligne à la fois les dangers pour les entreprises publiques qui font des divulgations incomplètes aux investisseurs sur les événements de cybersécurité ainsi que les défis auxquels les entreprises cotées aux États-Unis seront confrontées lorsque la SEC adoptera ses règles proposées sur la divulgation de la cybersécurité, qui, selon l’agence, pourraient intervenir dès que Avril 2023. La SEC a identifié la cybersécurité comme une priorité en matière d’application et a récemment augmenté les effectifs d’avocats dans son unité d’application spécialisée qui cible les fraudes en matière de cybersécurité et de crypto-monnaie. L’agence a également fait un usage accru des cas d’application pour démontrer les défaillances du marché qui nécessitent l’élaboration de règles à l’appui de son ambitieux programme de réglementation, et d’autres cas d’application de la SEC peuvent être attendus.