Marissa Mayer, ex-DG de Yahoo. AP/Lionel Cironneau

L'autorité américaine des marchés financiers, la SEC, a annoncé mardi qu'Altaba, la société holding qui possède les vestiges de Yahoo, doit payer une amende de 35 millions de dollars pour solder des accusations selon lesquelles elle a induit en erreur les investisseurs au sujet du piratage dont elle a été victime en 2014.

Bien que l'équipe de sécurité de l'information de Yahoo savait que des pirates russes dérobaient des noms d'utilisateur, des adresses électroniques et d'autres données personnelles clé, la société n'a jamais "sérieusement étudié" si elle avait besoin de divulguer la faille sécuritaire aux investisseurs, selon le communiqué.

Elle a finalement été rendue publique lorsque Verizon a acheté Yahoo l'année dernière.

Cette décision de la SEC porte sur le piratage de Yahoo de 2014 dans le cadre duquel les données de plus de 500 millions comptes ont été volées.

Yahoo a également admis l'automne dernier que des données de l'ensemble de ses 3 milliards de comptes d'utilisateurs ont été volées lors d'un piratage distinct, en août 2013, ce qui en ferait l'un des plus grands de tous les temps, détrônant le piratage 2014 qui fait l'objet du règlement de la SEC.

"Nous ne doutons pas des réflexions de bonne foi menées sur la révélation d'un incident de cybersécurité. Mais nous mettons aussi en garde contre le fait que la réaction d'une entreprise à un tel événement pourrait être à ce point absente qu'une sanction pourrait être justifiée. C'est clairement le cas ici", a déclaré Steven Peikin, codirecteur de la Division de l'application des lois de la SEC, dans un communiqué.

Retrouvez l'intégralité du communiqué de la SEC ci-dessous:

La Securities and Exchange Commission a annoncé aujourd'hui que l'entité anciennement connue sous le nom de Yahoo! Inc. a accepté de payer une amende de 35 millions de dollars pour régler les charges selon lesquelles elle a induit en erreur les investisseurs en omettant de divulguer l'une des plus importantes atteintes à la protection des données au monde, dans laquelle des pirates informatiques ont volé des données personnelles relatives à des centaines de millions de comptes d'utilisateurs.

Selon l'ordre de la SEC, quelques jours après l'intrusion de décembre 2014, l'équipe de sécurité de l'information de Yahoo a appris que des pirates informatiques russes avaient volé ce que l'équipe de sécurité appelait en interne les "joyaux de la couronne" de l'entreprise: noms d'utilisateur, adresses mail, numéros de téléphone, dates de naissance, mots de passe cryptés et questions et réponses de sécurité pour des centaines de millions de comptes d'utilisateurs. Bien que les informations relatives à la faille aient été communiquées aux membres de la haute direction et du service juridique de Yahoo, Yahoo n'a pas enquêté correctement sur les circonstances de l'intrusion et n'a pas examiné de manière adéquate si elle devait en informer les investisseurs. L'intrusion n'a été divulguée aux investisseurs publics que plus de deux ans plus tard, lorsque, en 2016, Yahoo était en train de négocier l'acquisition de ses activités d'exploitation par Verizon Communications, Inc.

"Nous ne doutons pas des réflexions de bonne foi menées sur la révélation d'un incident de cybersécurité. Mais nous mettons en garde contre le fait que la réaction d'une entreprise à un tel événement pourrait être à ce point absente qu'une sanction pourrait être justifiée. C'est clairement le cas ici", a déclaré Steven Peikin, codirecteur de la Division de l'application de la SEC.

Jina Choi, directrice du bureau régional de la SEC à San Francisco, a ajouté: "Le fait que Yahoo n'ait pas mis en place des contrôles et des procédures pour évaluer ses obligations en matière de divulgation électronique a fini par laisser ses investisseurs dans l'obscurité totale au sujet d'une violation massive des données. Les sociétés cotées devraient mettre en place des contrôles et des procédures pour évaluer correctement les cyber-incidents et divulguer les informations importantes aux investisseurs."

La décision de la SEC juge que lorsque Yahoo a publié plusieurs résultats trimestriels et annuels sur la période de deux ans suivant le piratage, l'entreprise n'a pas divulgué cette intrusion et ses potentielles implications économiques et juridiques. 

Au lieu de cela, les documents déposés par la société auprès de la SEC indiquaient qu'elle n'était confrontée qu'au risque d'atteintes à la protection des données et aux effets négatifs qui pourraient en découler. En outre, le jugement de la SEC conclut que Yahoo n'a pas partagé l'information concernant le manquement avec ses vérificateurs ou ses conseillers juridiques externes afin d'évaluer les obligations d'information de la société dans ses documents publics. Enfin, la décision de la SEC conclut que Yahoo n'a pas maintenu les contrôles et procédures de divulgation conçus pour s'assurer que les rapports de l'équipe de sécurité de l'information de Yahoo concernant les atteintes à la sécurité de l'information, ou le risque de telles atteintes, ont été correctement et en temps opportun évalués en vue d'une divulgation potentielle.

Verizon a acquis les activités d'exploitation de Yahoo en juin 2017. Yahoo a depuis changé son nom pour Altaba Inc.

Yahoo n'a ni admis ni nié les conclusions de l'ordonnance de la SEC, qui exige que la société cesse et renonce à d'autres violations des articles 17(a)(2) et 17(a)(3) de la Securities Act de 1933 et de l'article 13(a) de la Securities Exchange Act de 1934 et des règles 12b-20, 13a-1, 13a-11, 13a-11, 13a-13 et 13a-15.

L'enquête de la SEC, qui se poursuit, a été menée par Tracy S. Combs de la Cyber Unit et supervisée par Jennifer J. Lee et Erin E. Schneider du bureau de San Francisco.

Plus tôt cette année, la SEC a adopté une déclaration et des directives d'interprétation pour aider les sociétés ouvertes à préparer des informations sur les risques et incidents liés à la cybersécurité.

Version originale: Kif Leswing/Business Insider

Vous avez apprécié cet article ? Likez Business Insider France sur Facebook !

Lire aussi : GRAPHIQUE DU JOUR: Les autres piratages font pâle figure à côté de celui qui a touché Yahoo

VIDEO: Voici ce qu'il se produit vraiment lorsque vous craquez vos doigts