Collecte de données, gestion des risques, coordination avec les autres autorités de régulation… Dans une note d’information du 20 septembre 2017, la SEC détaille son approche en matière de cybersécurité.
Le régulateur boursier américain – de son nom complet « Securities and Exchange Commission » – affirme que la publication s’inscrit dans le cadre d’un processus d’audit amorcé en mai, lorsque Jay Clayton prenait ses fonctions de président.
Il reconnaît surtout, entre deux paragraphes, avoir découvert, en 2016, des accès non autorisés sur EDGAR (« Electronic Data Gathering, Analysis and Retrieval »), archive de documents relatifs aux sociétés cotées en Bourse ou engagées dans un processus d’IPO.
Sa conclusion est la suivante : cette intrusion a probablement entraîné le vol d’informations privées qui ont pu permettre à des individus de manipuler des cours boursiers.
Sans établir de lien, la SEC mentionne un audit de 2014 qui avait montré que plusieurs ordinateurs portables susceptibles d’avoir contenu des informations privées n’étaient pas localisables. Et que certains collaborateurs avaient pu transmettre des données par l’intermédiaire de comptes de messagerie non sécurisés.
L’autorité américaine fait également référence à une plainte pour fraude déposée en mai dernier contre le dénommé Robert W. Murray.
Cet ingénieur en mécanique est accusé d’avoir fait artificiellement varier le cours de l’action Fitbit en publiant, sous une identité usurpée à un DAF, un document selon lequel la société allait probablement tomber dans le giron du fonds AMB Capital Partners, prêt à payer une généreuse prime.
En achetant des actions juste avant de publier le document, puis en les revendant peu après, il aurait réalisé plus de 3 000 dollars de plus-value.
Si la SEC dit avoir colmaté la faille, un rapport que Reuters qualifie de « confidentiel » démontre que le département américain de la Sécurité intérieure a lui-même détecté, à partir du 23 janvier dernier, au moins 5 vulnérabilités critiques sur le système d’information du gendarme boursier.
On peut établir un parallèle avec l’activité du groupe de cybercriminels FIN4, qui a ciblé, sur la période 2013-2014, de grands groupes engagés dans des opérations de rapprochement, d’acquisition ou de scission.
Son objectif : récupérer des données privées relatives à ces transactions… et ainsi anticiper les tendances de la Bourse avec, à la clé, d’importants gains financiers.
Les entreprises visées exerçaient essentiellement dans le secteur de la santé ou l’industrie pharmaceutique. Mais FIN4 s’en est aussi pris à des intermédiaires ; en l’occurrence, des sociétés de conseil juridique, financier ou en investissement.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…