En septembre 2017, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis, qui était considérée comme l’une des trois plus grandes agences de crédit américaines avec Experian et TransUnion, a confirmé avoir été victime d’une violation de données suite à une attaque. Lors de cet incident, les données de près de 147 millions clients américains du groupe avaient été exposées. Les pirates avaient eu accès, de la mi-mai à juillet de la même année, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et du permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité. Equifax avait aussi précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 ;000 citoyens américains et avaient mis la main sur plus de 180 ;000 dossiers de crédits.Suite à cet incident, Equifax s’est vue assignée en justice par ses clients et actionnaires, mais aussi par des institutions financières alléguant qu’elle n’avait pas réussi à protéger la quantité massive de données personnelles stockées sur son réseau. En novembre dernier, l’ONG Privacy International a porté plainte contre sept entreprises de l’industrie technologique - y compris Equifax - auprès des autorités européennes pour violation du RGPD. L’ONG reprochait à ces entreprises la violation des principes de protection des données de l’article cinq du RGPD, les difficultés pour les utilisateurs à exercer leurs droits sur les données protégées contre ces sociétés et l’inexistence d’une base légale autorisant le traitement des données des utilisateurs par ces sites.
Dans le cadre du règlement de cette affaire, de nouveaux rapports indiquent qu’Equifax a accepté un arrangement avec les régulateurs US - incluant la Federal Trade Commission, le Consumer Financial Protection Bureau et le Department of Financial Services de New York - et les procureurs généraux. Au total, la société devra débourser entre 575 et 700 millions de dollars pour les victimes, les États et les organismes de réglementation américains. L’entreprise a accepté de verser 175 millions de dollars à 48 États, au District de Columbia et à Porto Rico ainsi que 100 millions de dollars au CFPB. Elle devra également constituer un fonds de 300 millions de dollars, extensible jusqu’à 425 millions de dollars, pour fournir aux consommateurs touchés des services de surveillance du crédit et les indemniser.
Par ailleurs, l’entreprise devra prendre des mesures supplémentaires visant à réduire l’impact dans l’éventualité d’un nouveau vol de données et il y aura des évaluations « ;régulières ;» assurées par une tierce partie pour vérifier que ses protections sont appropriées. À compter de janvier 2020, elle aura l’obligation de fournir à ses clients américains six rapports de crédit gratuits chaque année pendant sept ans, en plus du rapport de crédit annuel gratuit que toutes les agences américaines d’évaluation de crédit garantissent déjà.
L’entreprise a apporté de nombreux changements dans le but d’améliorer ses pratiques en matière de sécurité. Elle assure désormais le chiffrement des renseignements personnels, elle a mis en œuvre des méthodes de vérification de la sécurité plus strictes et commencé à effectuer des contrôles et des tests réguliers, entre autres changements. Un tribunal doit encore valider cet arrangement qui, s’il venait à être approuvé, représenterait le plus important règlement de l’histoire dans le cadre d’une affaire d’atteinte à la protection des données, selon le bureau du procureur général de l’État de New York.
Suite à cette annonce, Joe Simons, le président de la FTC, a déclaré que « ;les sociétés qui tirent profit des renseignements personnels ont une responsabilité supplémentaire de protéger et de sécuriser ces données ;». Simons a ajouté : « ;Equifax n’a pas pris les mesures de base qui auraient pu prévenir la brèche qui a touché environ 147 millions de consommateurs. Ce règlement exige que l’entreprise prenne des mesures pour améliorer la sécurité de ses données à l’avenir, et fera en sorte que les consommateurs lésés par cette violation puissent recevoir de l’aide pour se protéger contre le vol d’identité et la fraude ;».
Mark Begor, PDG d’Equifax, a pour sa part estimé que « ;ce règlement global est une étape positive pour les consommateurs américains et Equifax ;». La compagnie souligne sur son site Web dédié au règlement : « ;Equifax nie avoir commis un acte répréhensible, et aucun jugement ou constatation d’acte répréhensible n’a été fait ;».
Bien que les montants annoncés puissent sembler importants, on craint que cette indemnisation ne soit en réalité insignifiante comparée à l’impact sur les 147 millions de personnes touchées. Comme l’a expliqué Fast Company, les 575 millions de dollars annoncés au minimum ne représentent que 4 USD de dédommagement par victime, ce qui ne suffirait même pas à couvrir les dommages si un fraudeur exploitait des données sensibles comme les numéros de sécurité sociale et de carte de crédit.
Le représentant du New Jersey, Frank Pallone, a déclaré que la figure « ;montre les limites ;» de la FTC à exiger des sanctions et des compensations sévères. Même si Equifax est peut-être mieux sécurisée qu’elle ne l’était en 2017, elle n’accepte pas nécessairement toutes les conséquences de ses actions passées. Dans ses résultats financiers du premier trimestre, Equifax a annoncé qu’elle avait mis de côté 690 millions de dollars en prévision du règlement de cette affaire, un chiffre qui reste malgré tout inférieur au revenu global de la société pour ce trimestre. Les revenus de l’entreprise pour 2018 s’établissaient à 3,41 milliards de dollars, et bien que le cours de l’action ait chuté immédiatement après l’incident de sécurité en 2017, il a rebondi depuis.
Source : Equifax, FTC
Et vous ?
Qu’en pensez-vous ?Voir aussi
Cybersécurité : comment l'attaque contre Equifax en 2017 a-t-elle pu être possible ? Un état des lieux de la cybersécurité après cette attaque Les vulnérabilités de la chaîne logistique des logiciels libres ont doublé en 1 an, cependant, leur utilisation a augmenté de 120 % selon un rapport L'entreprise US de marketing Exactis perd le contrôle de sa base de données sur Internet, 340 millions de personnes ont été exposées