L'agence de notation de crédit Moody's a réduit sa perspective de notation d'Equifax de « stable » à « négative » en raison des graves répercussions financières du piratage en 2017, selon un rapport de CNBC. La brèche a coûté à l'entreprise quelque 1,4 milliard de dollars américains jusqu'à présent, à l'exclusion des frais juridiques.
La décision de Moody's est d'autant plus remarquable qu'il s'agit de la première fois que le coût d'un incident de sécurité incite l'agence à modifier la perspective de notation d'une entreprise. « C'est la première fois que les retombées d'une brèche sont suffisamment importantes pour contribuer à un changement », selon Joe Mielenhausen, porte-parole de Moody's.
On peut cependant considérer que ce déclassement n'est pas sorti de nulle part. Moody's elle-même a envoyé un message clair aux conseils d'administration en novembre 2018 lorsqu'elle a annoncé que ses perspectives de notation commenceraient à tenir compte des risques liés aux cyberattaques.
Un triste récit
Bien des choses peuvent se dérouler en deux ans. Petite rétrospective de la brèche qui a valu à Equifax une place dans les livres d'histoire.
Dans sa forme la plus simple, l'incident a été facilité par une vulnérabilité critique dans le cadre d'application Web Apache Struts pour laquelle un correctif a été publié le 6 mars 2017 mais qu'Equifax n'a pas installé à temps. On avance jusqu'au 13 mai 2017, alors que les pirates informatiques commencent à parcourir le réseau de l'entreprise dans une brèche qui ne sera découverte que le 29 juillet 2017.
Ce n'est que le 7 septembre de la même année qu'Equifax a révélé que des attaquants avaient subtilisé de nombreuses données personnelles sur la moitié de la population américaine, ainsi que sur des centaines de milliers de Canadiens et d'Anglais. Par la suite, le décompte a été augmenté à deux reprises, ce qui a finalement permis de recueillir des données sur près de 148 millions de personnes.
La majeure partie des critiques qu'Equifax a essuyées est liée aux pratiques laxistes de cybersécurité de l'entreprise. Alors que l'ancien PDG de l'entreprise, Richard Smith, attribuait la brèche au fait qu'une seule personne n'avait pas déployé le correctif, les enquêtes ont révélé qu'il s'agissait simplement d'un signe d'un problème beaucoup plus profond.
Par exemple, un rapport publié le mois dernier par un comité sénatorial américain indique que « les lacunes d'Equifax durent depuis longtemps et reflètent une culture plus large de complaisance en matière de préparation à la cybersécurité. »
Un autre rapport cinglant, rédigé par un comité de la Chambre des représentants et rendu public en décembre 2018, présente un aperçu unique des circonstances entourant l'incident.
Pendant ce temps, le ou les voleurs restent inconnus et les données volées sont introuvables. CNBC a récemment communiqué avec une équipe d'experts en sécurité, de chasseurs de données du Dark Web et de personnes impliquées dans l'enquête sur l'atteinte à la sécurité, qui ont découvert que, contrairement à ce dont on pourrait s’attendre, les données n'ont jamais été mises en vente dans de sombres recoins d'Internet, et ne semblent pas non plus avoir été utilisées pour voler ou attaquer des utilisateurs.