Est-il acceptable que Yahoo ait mis tant de temps pour officialiser les vols massifs de données dont il a été victime en 2013 et 2014 ?
C’est, d’après le Wall Street Journal, la question que se pose la SEC (Securities and Exchange Commission).
L’autorité de contrôle et de régulation des marchés financiers aux États-Unis s’intéresserait tout particulièrement au plus récent des deux incidents, révélé le 22 septembre 2016 avec un lourd bilan : au moins 500 millions d’utilisateurs touchés.
La chronologie des événements comporte des zones d’ombre… que le formulaire trimestriel 10-Q remis en novembre dernier à la SEC n’a guère éclaircies. Yahoo y affirme avoir eu connaissance, dès fin 2014, de cette intrusion dans son réseau, attribuée à « un agent piloté par un État ».
Pourquoi, alors, avoir attendu près de deux ans, alors que les « bonnes pratiques » édictées par la SEC impliquent, a fortiori pour les sociétés cotées, d’avertir leurs investisseurs au plus vite en cas de problème « substantiel » de sécurité IT ?
Le régulateur s’est déjà penché sur cette problématique dans le cadre du piratage qui avait frappé Target et que l’enseigne de grande distribution avait mis plusieurs semaines à dévoiler. Il n’avait pas pris de sanctions, notamment au vu du flou qui entoure le terme « substantiel » appliqué à l’impact des attaques informatiques.
Au vu de son ampleur (le hack de 2013 concerne au bas mot un milliard de comptes), le dossier Yahoo semble être l’occasion de clarifier le cadre, entre autres sur le délai acceptable pour faire la lumière sur des cyberattaques.
Ce n’est pas si évident. Ainsi Target avait-il initialement annoncé 40 millions de « victimes », avant que le compteur ne monte à 70 millions.
Le board de Yahoo a justement nommé un comité chargé, entre autres, d’évaluer dans quelle mesure le personnel de la société avait connaissance de la brèche… et de son étendue. Et plus globalement s’il lui aurait été possible de communiquer plus tôt avec suffisamment de certitude sur les circonstances de l’incident.
Difficile d’écarter l’hypothèse selon laquelle la firme – dont Marissa Mayer a récemment lâché les rênes – aurait joué la montre, le temps de se vendre à Verizon.
Aux dernières nouvelles, le groupe télécoms n’a pas exclu de boucler le deal. Mais il se pourrait que les conditions financières soient renégociées pour tenir compter des effets négatifs que pourrait avoir les piratages de 2013 et 2014.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…