
Article original en anglais par Kristin Bryan & Sasha Kiosse
Après plusieurs jours de délibération, un jury a reconnu hier l’ancien responsable de la sécurité d’Uber Technologies Inc. (« Uber ») coupable d’obstruction de justice et d’avoir dissimulé à la Federal Trade Commission (« FTC ») le vol de données personnelles de 50 millions de clients et de 7 millions de chauffeurs Uber.
Pour rappel, en 2016 deux pirates informatiques ont volé des données relatives aux chauffeurs et les passagers d’Uber sur le serveur d’un tiers. Les pirates ont fait une demande de rançon auprès d’Uber à hauteur de 100 000 dollars en bitcoins, en échange de la suppression de la copie des données qu’ils avaient effectuée. La rançon a été payée. Au cœur du dossier de l’accusation contre l’ancien responsable de la sécurité informatique, il y a le témoignage de l’ancien juriste d’Uber (effectué en contrepartie d’une immunité). Selon ce témoignage, l’ancien responsable de la sécurité a modifié un accord de confidentialité avec les pirates, en vue de faire passer l’attaque pour l’action d’un « pirate éthique » (« white hat »), soit un piratage consensuel et éthique pour tester la sécurité des systèmes, alors qu’il s’agissait d’une véritable attaque malveillante qui a exposé les informations personnelles de 57 millions d’utilisateurs d’Uber. Et ce, alors même que les lois fédérales et étatiques américaines imposent la notification des violations de données personnelles. Le non-respect de l’obligation de notification a d’ailleurs résulté dans le payement par Uber d’un montant de 148 millions de dollars dans le cadre d’un accord amiable avec 50 États américains, soit le montant transactionnel le plus élevé à l’époque pour ce type de manquement.
En 2018, la France a condamné Uber à une amende de 400 000 euros pour avoir caché ce piratage. Les Pays-Bas et le Royaume-Uni ont également sanctionné l’entreprise.
Le choix qui a été fait de dissimuler l’attaque et de payer la rançon a été critiqué par les experts en sécurité, qui affirment que le fait de payer les pirates informatiques a pour effet de financer la cyber-criminalité. Le FBI a déclaré en 2016 :
« Payer une rançon ne garantit pas à une organisation qu’elle récupérera ses données – nous avons vu des cas où des organisations n’ont jamais obtenu de clé de déchiffrement après avoir payé la rançon. Le paiement d’une rançon, non seulement encourage les cybercriminels actuels à cibler davantage d’organisations, mais incite également d’autres criminels à développer ce type d’activité illégale. Enfin, en payant une rançon, une organisation peut financer par inadvertance d’autres activités illicites associées à des criminels. »
L’ancien responsable de la sécurité attend maintenant la sentence et risque une peine de huit ans d’emprisonnement.
De manière plus générale, ces poursuites (et cette condamnation) soulignent plusieurs tendances en matière de cybercriminalité et de protection de la vie privée /des données personnelles aux USA qui ont des répercussions sur les entreprises de tous les secteurs.
Premièrement, elle montre que la confidentialité des données et la cybersécurité sont désormais des priorités explicites de certaines autorités et, notamment aux USA, de la Securities and Exchange Commission, du ministère de la Justice et de la FTC. Cette dernière a notamment fait savoir qu’elle engagerait des poursuites à l’encontre des entreprises qui ne prendraient pas de mesures raisonnables pour atténuer les vulnérabilités connues en matière de cybersécurité.
Deuxièmement, l’évolution du paysage réglementaire s’est accompagnée d’une modification du risque juridique lié à la confidentialité des données et à la cybersécurité. Un conseil d’administration joue un rôle essentiel dans la gestion des risques liés à la cybersécurité. Conscient de cette responsabilité, la plupart des conseils d’administration des 100 entreprises les plus importantes du classement Fortune aux USA auraient, selon une étude récente, pris des mesures importantes pour gérer les risques liés à la cybersécurité. Par exemple, la grande majorité des conseils d’administration interrogés désignent désormais un membre du conseil chargé de superviser la cybersécurité et font appel à un comité d’audit pour examiner les questions de cybersécurité.
Troisièmement, en dehors des éventuels recours collectifs, les litiges entre actionnaires suivant la divulgation d’une violation de données sont devenus plus fréquents. Ces affaires concernent généralement des allégations selon lesquelles le conseil d’administration n’a pas mis en œuvre des contrôles de cybersécurité appropriés ou n’a pas réagi aux signaux d’alerte. Par exemple, à la suite de la violation des données de T-Mobile l’année dernière, une action en justice a été intentée par des actionnaires qui prétendaient que les membres du conseil d’administration étaient « depuis longtemps au courant des signaux d’alarme démontrant que la société ne disposait pas d’un système efficace de contrôles internes pour assurer la sécurité des informations d’identification personnelle des clients face à cette menace ». Récemment, on a également constaté une augmentation des actions dérivées d’actionnaires qui cherchent à tenir les dirigeants et les administrateurs pour responsables des lacunes des pratiques d’une entreprise en matière de confidentialité des données et de cybersécurité.