Cybersécurité et sociétés cotées : Yahoo pourrait faire exemple aux États-Unis

Sécurité
yahoo-sec

Yahoo aurait-il pu communiquer plus tôt sur les vols massifs de données dont il a été victime ? La SEC aurait ouvert une enquête pour le déterminer.

Est-il acceptable que Yahoo ait mis tant de temps pour officialiser les vols massifs de données dont il a été victime en 2013 et 2014 ?

C’est, d’après le Wall Street Journal, la question que se pose la SEC (Securities and Exchange Commission).

L’autorité de contrôle et de régulation des marchés financiers aux États-Unis s’intéresserait tout particulièrement au plus récent des deux incidents, révélé le 22 septembre 2016 avec un lourd bilan : au moins 500 millions d’utilisateurs touchés.

La chronologie des événements comporte des zones d’ombre… que le formulaire trimestriel 10-Q remis en novembre dernier à la SEC n’a guère éclaircies. Yahoo y affirme avoir eu connaissance, dès fin 2014, de cette intrusion dans son réseau, attribuée à « un agent piloté par un État ».

Pourquoi, alors, avoir attendu près de deux ans, alors que les « bonnes pratiques » édictées par la SEC impliquent, a fortiori pour les sociétés cotées, d’avertir leurs investisseurs au plus vite en cas de problème « substantiel » de sécurité IT ?

Le régulateur s’est déjà penché sur cette problématique dans le cadre du piratage qui avait frappé Target et que l’enseigne de grande distribution avait mis plusieurs semaines à dévoiler. Il n’avait pas pris de sanctions, notamment au vu du flou qui entoure le terme « substantiel » appliqué à l’impact des attaques informatiques.

L’exemple Yahoo

Au vu de son ampleur (le hack de 2013 concerne au bas mot un milliard de comptes), le dossier Yahoo semble être l’occasion de clarifier le cadre, entre autres sur le délai acceptable pour faire la lumière sur des cyberattaques.

Ce n’est pas si évident. Ainsi Target avait-il initialement annoncé 40 millions de « victimes », avant que le compteur ne monte à 70 millions.

Le board de Yahoo a justement nommé un comité chargé, entre autres, d’évaluer dans quelle mesure le personnel de la société avait connaissance de la brèche… et de son étendue. Et plus globalement s’il lui aurait été possible de communiquer plus tôt avec suffisamment de certitude sur les circonstances de l’incident.

Difficile d’écarter l’hypothèse selon laquelle la firme – dont Marissa Mayer a récemment lâché les rênes – aurait joué la montre, le temps de se vendre à Verizon.

Aux dernières nouvelles, le groupe télécoms n’a pas exclu de boucler le deal. Mais il se pourrait que les conditions financières soient renégociées pour tenir compter des effets négatifs que pourrait avoir les piratages de 2013 et 2014.

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur