Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorFace à un incident de cybersécurité, évitez de vous enfoncer

​Face à un incident de cybersécurité, évitez de vous enfoncer

Comme l’a un jour déclaré le célèbre humoriste américain Will Rogers, « si vous vous trouvez dans un trou, cessez de creuser ». Une expression intemporelle qui est aussi valable aujourd’hui qu’elle l’était il y a des dizaines d’années lorsque Will Rogers a prononcé ces mots. A l’ère des médias sociaux et des actualités en continu, des personnalités politiques et publiques, de même que des entreprises de renom, peuvent se retrouver au fond d’un gouffre du jour au lendemain. Et bien souvent, leur instinct les pousse à réagir et à s’enfoncer.

La dernière société qui n’a pas tenu compte des conseils avisés de Will Rogers est Equifax. A l’heure où les cyberattaques sont devenues monnaie courante, la communication d’Equifax sur la faille de sécurité qui a compromis les données confidentielles d’environ 143 millions de ses clients a provoqué une onde de choc. A la suite d’un piratage massif, les noms, les numéros de sécurité sociale et d’autres informations personnelles de plus de 40% de la population des Etats-Unis ont été exposés.

La façon dont l’établissement de crédit basé à Atlanta a réagi est peu glorieuse. Il a certes pris les mesures qui s’imposaient en mettant en place un site web qui propose un service gratuit de suivi de dossier de crédit et de protection contre le vol d'identité pour les clients concernés, et s’est également excusé en promettant de s’améliorer.

Toutefois, Equifax gère avec difficulté les conséquences de cet incident en raison de nouvelles révélations qui l’accablent un peu plus chaque jour.

  • Peu de temps après qu’Equifax a annoncé publiquement l’incident le 7 septembre, des allégations selon lesquelles trois cadres dirigeants de l’agence auraient vendu des actions de l’entreprise juste après la découverte de la faille ont fait surface. Si celles-ci sont avérées, cela soulèverait des soupçons de délit d’initié.
  • Le 8 septembre, l’entreprise a déclenché la polémique en exigeant une clause d’arbitrage, ou de renonciation au droit d’engager un recours collectif en justice de la part de toutes les personnes acceptant son offre de suivi de dossier de crédit et de protection contre le vol d’identité.
  • Le 11 septembre, Equifax a abandonné cette clause.
  • Le même jour, la Commission des finances du Sénat des États-Unis a adressé une lettre au président directeur général d’Equifax, Richard F. Smith, pour obtenir des informations concernant la faille de sécurité et les mesures prises par Equifax pour y remédier. Cette commission demande également des comptes sur les tests de vulnérabilité aux cyberattaques effectués avant le piratage ainsi que sur le vol d’informations relatives à l’impôt sur le revenu (formulaire W-2) chez TALX, l’une de ces filiales, en début d’année.
  • Le 12 septembre, Richard Smith a publié une lettre ouverte dans USA Today dans laquelle il présentait ses excuses et promettait de s’améliorer. « Nous mobilisons des ressources considérables pour nous assurer que ce genre d’incident ne se reproduise pas. Nous ferons les changements nécessaires et continuerons de renforcer nos défenses contre la cybercriminalité », écrit-il.
  • Le 15 septembre, une lettre signée par 36 sénateurs exhorte le ministère américain de la Justice, la Securities and Exchange Commission et la Federal Trade Commission à « ne ménager aucun effort dans leurs enquêtes et dans leur application de la loi. »

Difficile d’imaginer une semaine plus catastrophique pour la réputation d’Equifax. Bien qu’il ne soit pas possible de réparer les dommages causés par le gigantesque piratage, il semble que la société ait choisi de continuer à s’enfoncer. Comme l’observe Information Age, « lorsqu’une faille est découverte, il est essentiel d’agir de manière exhaustive et rapide, au risque d’exposer l’entreprise à de plus lourdes responsabilités. » L’article intitulé 6 Critical Steps to Deal with a Cyberattack propose 6 étapes cruciales à suivre en cas de cyberattaque :

  • mobiliser une équipe de gestion de l’incident ;
  • mettre un terme à l’intrusion et assurer la continuité de l’activité ;
  • lancer une enquête approfondie et obtenir des réponses ;
  • gérer les relations publiques ;
  • répondre aux exigences légales et réglementaires ;
  • se préparer à assumer sa responsabilité.

Il est important de comprendre que ces étapes sont interdépendantes. Mal exécuter une ou plusieurs d’entre elles pourrait compromettre les autres.

De nombreuses questions restent sans réponse concernant les multiples cyberattaques chez Equifax, leur traitement par l’entreprise, l’engagement de celle-ci à protéger les données personnelles et la vente suspecte d’actions par des cadres dirigeants.

Une chose est claire : Equifax n’a pas réussi à bien gérer les retombées du piratage. Communiquer sur le fait que la société assume sa responsabilité et travaille dur pour régler les problèmes ne fonctionne pas. Le message est éclipsé par les suspicions qui pèsent sur les dirigeants qui auraient profité des violations de données et les interrogations relatives à l’engagement de la société à protéger ses clients.

En tant qu’auditeurs internes, nous avons des obligations qui dépassent de loin l’assurance de l’efficacité des contrôles de nos organisations en matière de cyber-sécurité. Personne ne peut fournir une assurance absolue que l’entreprise ne sera pas victime d’une cyberattaque. Par conséquent, nous devons également évaluer la disposition de l’organisation à gérer un incident de sécurité lorsque celui-ci survient. Sinon, les dirigeants de l’entreprise auront tendance à continuer de s’enfoncer.

Nous devrions aider nos organisations à apprendre des erreurs qui portent préjudice à tant d’autres lorsqu’il s’agit de faire face aux failles de cybersécurité ou à toute autre crise du 21ème siècle. Car, selon une autre citation de Will Rogers, « la clairvoyance se fonde sur l’expérience, et cette dernière est essentiellement constituée d’erreurs. »

 

Richard Chambers

Pour information

Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d'audit interne.