En septembre dernier, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l’une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’un accès non autorisé à sa base de données contenant 143 millions de ses clients américains. Un incident dont les répercussions sont à relativiser. En effet, durant une conférence avec les investisseurs pour donner des résultats financiers du troisième trimestre de 2017, les dirigeants d'Equifax ont déclaré que la société avait engagé des dépenses de 87,5 millions de dollars liées à cet incident. Dans le détail, l’entreprise a dépensé 55,5 millions de dollars en coûts de produits, 17,1 millions de dollars en réponse aux incidents et autres honoraires professionnels et 14,9 millions de dollars en soutien à la clientèle.
La direction d'Equifax a également déclaré qu’elle s'attend à des coûts supplémentaires générés par cette brèche dans une fourchette comprise entre 56 et 110 millions de dollars dans les mois à venir. Ces coûts représentent le « passif éventuel » qui correspond aux obligations potentielles de remboursement à des tiers de dégâts matériels ou aux personnes en cas de survenue d'un évènement impliquant la responsabilité de l'entité, jugée peu probable, mais dont les conséquences seraient graves en cas de réalisation. Dans le cas d’espèce, l’entreprise a évoqué la surveillance gratuite du crédit et la protection contre le vol d'identité à l'intention de tous les consommateurs américains en un geste de bonne volonté.
Cela n’inclut donc pas les dépenses afférant aux recours collectifs dont Equifax fait l’objet dans de nombreux États. En tout, l’entreprise fait face à plus de 240 recours collectifs. Cette semaine, un groupe de consommateurs a déposé 180 000 signatures au siège social d'Equifax à Atlanta dans le cadre d'une pétition visant à forcer l'entreprise à fournir de meilleures protections aux utilisateurs pour les utilisateurs touchés par la violation de données.
Les coûts fournis par Equifax sont une estimation des dépenses nécessaires pour fournir ce service à ceux qui se sont inscrits ou qui s'inscriront avant la date limite du 31 janvier 2018. Pour combler ce déficit, le PDG par intérim Paulino Barros a annoncé que les cadres ne recevront aucun bonus pour 2017 « en raison de l'incident de cybersécurité. »
« Nous n’avons pas perdu de contrats », a déclaré Barros durant cet entretien. Bien qu'aucun client majeur n'ait rompu les liens avec le bureau de crédit, certains ont retardé de nouveaux contrats jusqu'à ce qu'Equifax prouve qu'ils en ont fait suffisamment pour consolider leur cybersécurité, une situation qui pourrait nuire aux ventes et aux bénéfices des prochains trimestres, a commenté Barros.
Equifax a également dépensé jusqu'à 75 millions de dollars pour moderniser ses services informatiques, et l'investissement dans la cybersécurité pourrait également toucher les résultats du prochain trimestre, a déclaré John Gamble, directeur financier de la société.
Même cela ne suffirait peut-être pas pour empêcher de futurs hacks, a averti l'entreprise : « Nous ne pouvons pas garantir que toutes les causes potentielles de l'incident ont été identifiées et corrigées et ne se reproduiront plus ». Rappelons que, selon les enquêtes de l’entreprise, ce piratage a été possible à cause d’une faille détectée dans Struts, le Framework web utilisé par l’entreprise pour développer son application web. Au vu de ce commentaire, il apparaît que l’entreprise réalise que d’autres vecteurs d’attaques sont possibles.
« À court terme, la direction devra convaincre les clients sceptiques et les nouvelles perspectives commerciales que ses défenses en matière de cybersécurité se soient renforcées pour convertir les reports de contrats en bénéfices et flux de trésorerie réels », a déclaré David Togut, analyste chez Evercore ISI.
Source : NYP, Consumer Union (pétition avec les 180 000 signatures), Bloomberg, Equifax résultats financiers (en PDF)
Voir aussi :
Les entreprises victimes de piratage devraient-elles être autorisées à faire de même en légitime défense ? Non, selon l'ancien directeur de la NSA 
