dim. Juil 5th, 2026

U.S. Bank concorde un règlement de plusieurs millions de dollars après avoir manqué de divulguer un incident de cybersécurité.

Le processus décisionnel lié à la divulgation d’un incident cybernétique est un équilibre délicat. Les entreprises doivent peser de nombreux facteurs, tels que le moment adéquat pour informer et la quantité d’informations à partager avec employés, clients ou régulateurs, comme la Securities and Exchange Commission (SEC).

Une banque de New York a récemment été contrainte de verser plus de 3,5 millions de dollars pour régler des accusations selon lesquelles elle aurait minimisé l’ampleur d’un incident de cybersécurité dans ses déclarations auprès de la SEC et ses avis publics adressés aux clients. Selon la SEC, la banque a fait preuve de négligence en émettant des « déclarations matériellement trompeuses » concernant un incident survenu dans son réseau entre le 22 novembre et le 25 décembre 2021.

D’après l’ordre de la SEC instituant des procédures de cessation et d’abstention, cet incident a entraîné « le chiffrement de données, des perturbations réseau et l’exfiltration des informations d’identité personnelle (IIP) d’environ 1,5 million de personnes, y compris des clients, aux dates des 3 et 4 décembre 2021. » En particulier, un acteur malveillant a obtenu « un accès non autorisé à la plateforme [de la banque] permettant aux utilisateurs d’accéder aux applications et bureaux de la banque à distance […], a obtenu des identifiants permettant au malfaiteur de déployer un ransomware qui a causé le chiffrement d’environ 30 % des postes de travail et serveurs [de la banque], et a exfiltré des données, y compris les IIP des clients, de son réseau. » Cet incident a également entravé la capacité de la banque à créer, gérer et clôturer des prêts, la forçant à fermer son réseau pendant plusieurs heures, à reconstruire ou restaurer des serveurs et à réinitialiser les mots de passe des employés. La banque a également été contrainte de payer une rançon en échange de la promesse du malfaiteur de permettre à la banque de supprimer les données exfiltrées.

La SEC a déterminé que la déclaration Formulaire 10-K de la banque pour 2021 était matériellement trompeuse, car la banque savait au moment de son dépôt qu’elle avait déjà subi une cyber-attaque entraînant l’exfiltration des données sensibles de clients et d’employés, tout en ayant également perturbé ses opérations. Du point de vue de la SEC, les déclarations du Formulaire 10-K pour 2021 dépeignaient l’attaque comme hypothétique, alors qu’il s’agissait d’une situation concrète.

De plus, la SEC a constaté que l’avis sur le site Web des clients de la banque et le Formulaire 10-Q de 2022 étaient également trompeurs. L’avis sur le site Web des clients affirmait qu’il n’y avait eu qu’un accès non autorisé au réseau de la banque, tandis qu’à ce moment-là, elle savait que le « malfaiteur avait exfiltré les IIP d’environ 1,5 million de personnes de [son] réseau. »

En outre, lors du dépôt de son Formulaire 10-Q en 2022, la banque a indiqué qu’elle avait seulement « récemment subi un incident cybernétique impliquant un accès non autorisé à notre réseau et d’autres données clients. » Dans les deux cas, la SEC a à nouveau trouvé que la banque avait mal représenté l’ampleur de l’incident. Elle n’a pas fourni de détails sur la portée ou les conséquences de l’incident, notamment en ce qui concerne sa prise de conscience de l’exfiltration, et n’a pas divulgué ce fait à ses clients.

À cause de ces déclarations et omissions, la SEC a conclu que la banque avait violé la Section 17(a)(2) de la Loi sur les valeurs mobilières et la Section 13(a) de la Loi sur les échanges, ainsi que plusieurs règles, entraînant le paiement à la SEC.

Qu’est-ce qui a mal tourné ?

Suite à un incident de cybersécurité, choisir quand, comment et combien d’informations partager peut s’avérer complexe, et attendre qu’une crise survienne avant d’élaborer une réponse peut aggraver une situation déjà difficile. Il est essentiel d’élaborer et de mettre à jour régulièrement des plans pour traiter toutes les zones d’impact prévisibles, y compris, bien entendu, les dépôts auprès de la SEC. Impliquer des ressources juridiques, de communication et de conformité, qu’elles soient internes ou externes, devient d’autant plus crucial lorsque des divulgations réglementaires sont en jeu.

Actions Proactives à Entreprendre – Quel que soit Votre Secteur

La cybercriminalité est l’une des formes de fraude les plus répandues, peu importe le secteur, et les entreprises devraient envisager de prendre les mesures suivantes pour prévenir les incidents cybernétiques et les erreurs de déclaration auprès de la SEC :

  • Assurer la mise en place de mesures de cybersécurité robustes pour protéger les IIP et les informations financières.
  • Limiter l’accès aux données sensibles aux seules personnes autorisées.
  • Revoir et mettre à jour régulièrement les politiques et procédures de cybersécurité.
  • Se tenir informé des dernières tendances et techniques de prévention de la fraude (comme l’IA).
  • Fournir une formation adéquate sur les incidents de cybersécurité.
  • Maintenir des canaux de communication clairs entre les équipes de communication et juridiques.
  • Développer et actualiser un processus clair pour identifier et respecter toutes les exigences réglementaires applicables, y compris un processus de divulgation qui garantisse l’exactitude factuelle et juridique.

À Retenir

Ce règlement récent démontre, si nécessaire, l’importance de comprendre les attentes réglementaires face à un incident de cybersécurité. Il est essentiel que les entreprises enquêtent immédiatement sur les causes et conséquences de l’incident, déterminent si une exfiltration a eu lieu, analysent leurs obligations de déclaration auprès des régulateurs, des individus et des clients, et définissent rapidement les informations nécessaires à divulguer dans un Formulaire 10-Q, 10-K ou 8-K. Les entreprises doivent passer en revue de manière proactive leurs plans et protocoles de réponse aux incidents et s’assurer que leur direction et leurs équipes de réponse soient prêtes à agir, notamment en mettant en place un processus de divulgation solide.

Bon à savoir

  • La cybersécurité doit être une priorité pour toutes les entreprises, petites ou grandes, afin de protéger les données sensibles.
  • La communication en cas de problème n’est pas seulement une obligation légale, mais aussi un impératif pour maintenir la confiance des clients.
  • Des exercices fréquents de simulation d’incidents peuvent aider les équipes à mieux réagir lors d’une crise réelle.

En conclusion, cet incident soulève des questions importantes sur les pratiques de divulgation et les responsabilités des entreprises en matière de cybersécurité. Que ressentez-vous face à la nécessité d’une transparence accrue dans ce domaine ? Les défis sont nombreux, mais le dialogue autour d’une meilleure gestion des crises pourrait mener à des améliorations significatives.


Partager : X Facebook WhatsApp LinkedIn Reddit
3 thoughts on “U.S. Bank débourse 3,5 millions de dollars pour des manquements en cybersécurité”
  1. Cet incident met en lumière l’importance de la transparence. Une entreprise qui ne partage pas la vérité risque de briser la confiance que ses clients lui portent.

  2. La sécurité des données est si cruciale, surtout pour les enfants ! Il est temps que les entreprises prennent cela au sérieux pour protéger nos précieuses informations.

  3. Cet incident montre vraiment à quel point la cybersécurité est cruciale. Les entreprises doivent être transparentes pour garder la confiance des clients. Une vraie leçon !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *