Pour gérer vos consentements :
Categories: Sécurité

Cybersécurité et sociétés cotées : Yahoo pourrait faire exemple aux États-Unis

Est-il acceptable que Yahoo ait mis tant de temps pour officialiser les vols massifs de données dont il a été victime en 2013 et 2014 ?

C’est, d’après le Wall Street Journal, la question que se pose la SEC (Securities and Exchange Commission).

L’autorité de contrôle et de régulation des marchés financiers aux États-Unis s’intéresserait tout particulièrement au plus récent des deux incidents, révélé le 22 septembre 2016 avec un lourd bilan : au moins 500 millions d’utilisateurs touchés.

La chronologie des événements comporte des zones d’ombre… que le formulaire trimestriel 10-Q remis en novembre dernier à la SEC n’a guère éclaircies. Yahoo y affirme avoir eu connaissance, dès fin 2014, de cette intrusion dans son réseau, attribuée à « un agent piloté par un État ».

Pourquoi, alors, avoir attendu près de deux ans, alors que les « bonnes pratiques » édictées par la SEC impliquent, a fortiori pour les sociétés cotées, d’avertir leurs investisseurs au plus vite en cas de problème « substantiel » de sécurité IT ?

Le régulateur s’est déjà penché sur cette problématique dans le cadre du piratage qui avait frappé Target et que l’enseigne de grande distribution avait mis plusieurs semaines à dévoiler. Il n’avait pas pris de sanctions, notamment au vu du flou qui entoure le terme « substantiel » appliqué à l’impact des attaques informatiques.

L’exemple Yahoo

Au vu de son ampleur (le hack de 2013 concerne au bas mot un milliard de comptes), le dossier Yahoo semble être l’occasion de clarifier le cadre, entre autres sur le délai acceptable pour faire la lumière sur des cyberattaques.

Ce n’est pas si évident. Ainsi Target avait-il initialement annoncé 40 millions de « victimes », avant que le compteur ne monte à 70 millions.

Le board de Yahoo a justement nommé un comité chargé, entre autres, d’évaluer dans quelle mesure le personnel de la société avait connaissance de la brèche… et de son étendue. Et plus globalement s’il lui aurait été possible de communiquer plus tôt avec suffisamment de certitude sur les circonstances de l’incident.

Difficile d’écarter l’hypothèse selon laquelle la firme – dont Marissa Mayer a récemment lâché les rênes – aurait joué la montre, le temps de se vendre à Verizon.

Aux dernières nouvelles, le groupe télécoms n’a pas exclu de boucler le deal. Mais il se pourrait que les conditions financières soient renégociées pour tenir compter des effets négatifs que pourrait avoir les piratages de 2013 et 2014.

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago