Categories: Sécurité

Cybersécurité et sociétés cotées : Yahoo pourrait faire exemple aux États-Unis

Est-il acceptable que Yahoo ait mis tant de temps pour officialiser les vols massifs de données dont il a été victime en 2013 et 2014 ?

C’est, d’après le Wall Street Journal, la question que se pose la SEC (Securities and Exchange Commission).

L’autorité de contrôle et de régulation des marchés financiers aux États-Unis s’intéresserait tout particulièrement au plus récent des deux incidents, révélé le 22 septembre 2016 avec un lourd bilan : au moins 500 millions d’utilisateurs touchés.

La chronologie des événements comporte des zones d’ombre… que le formulaire trimestriel 10-Q remis en novembre dernier à la SEC n’a guère éclaircies. Yahoo y affirme avoir eu connaissance, dès fin 2014, de cette intrusion dans son réseau, attribuée à « un agent piloté par un État ».

Pourquoi, alors, avoir attendu près de deux ans, alors que les « bonnes pratiques » édictées par la SEC impliquent, a fortiori pour les sociétés cotées, d’avertir leurs investisseurs au plus vite en cas de problème « substantiel » de sécurité IT ?

Le régulateur s’est déjà penché sur cette problématique dans le cadre du piratage qui avait frappé Target et que l’enseigne de grande distribution avait mis plusieurs semaines à dévoiler. Il n’avait pas pris de sanctions, notamment au vu du flou qui entoure le terme « substantiel » appliqué à l’impact des attaques informatiques.

L’exemple Yahoo

Au vu de son ampleur (le hack de 2013 concerne au bas mot un milliard de comptes), le dossier Yahoo semble être l’occasion de clarifier le cadre, entre autres sur le délai acceptable pour faire la lumière sur des cyberattaques.

Ce n’est pas si évident. Ainsi Target avait-il initialement annoncé 40 millions de « victimes », avant que le compteur ne monte à 70 millions.

Le board de Yahoo a justement nommé un comité chargé, entre autres, d’évaluer dans quelle mesure le personnel de la société avait connaissance de la brèche… et de son étendue. Et plus globalement s’il lui aurait été possible de communiquer plus tôt avec suffisamment de certitude sur les circonstances de l’incident.

Difficile d’écarter l’hypothèse selon laquelle la firme – dont Marissa Mayer a récemment lâché les rênes – aurait joué la montre, le temps de se vendre à Verizon.

Aux dernières nouvelles, le groupe télécoms n’a pas exclu de boucler le deal. Mais il se pourrait que les conditions financières soient renégociées pour tenir compter des effets négatifs que pourrait avoir les piratages de 2013 et 2014.

Recent Posts

Digital Workplace : comment l’IA Générative s’installe dans l’environnement de travail

L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…

2 semaines ago

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

4 semaines ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

1 mois ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

1 mois ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

2 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

3 mois ago