Reuters a rapporté le 6 février que le Bureau de protection financière des consommateurs, une agence clé chargée de superviser les activités financières entreprises, néglige son enquête sur le piratage d'Equifax qui a compromis les informations personnelles de millions. Le CFPB n’aurait délivré aucune assignation à comparaître ni demandé aucun témoignage – et aurait renoncé à coopérer avec d’autres agences comme la Réserve fédérale.
Malheureusement, ce n’est pas une tournure des événements choquante.
Malheureusement, ce n’est pas une tournure des événements choquante. Divers régulateurs gouvernementaux ont imposé des amendes aux entreprises qui souffrent failles de sécurité dans le passé, et une poignée de failles de sécurité passées ont en effet coûté très cher aux entreprises. Mais la plupart s’en sortent indemnes.
En rapport
- Une faille de sécurité Zero Day dans Google Chrome nécessite une mise à jour maintenant
- WPA3, la troisième génération de sécurité Wi-Fi, présente un défaut géant: vous
Deux études indépendantes l’ont confirmé. Un, menée par la RAND Corporation, a constaté que la plupart des violations informatiques coûtent à une entreprise environ 200 000 dollars. C’est un petit chiffre, même pour une petite entreprise de quelques dizaines d’employés. Une autre étude de l'Université de Columbia a révélé que le coût financier d’une violation de la cybersécurité est, en moyenne, moins de 0,1 pour cent du chiffre d’affaires annuel d’une entreprise Fortune 500.
Où est le bâton ?
La morale est simple: les conséquences d’une violation de données ne sont souvent pas suffisamment graves pour que les entreprises s’inquiètent de leur sécurité.
C’est là que les agences gouvernementales comme le CFPB doivent intervenir. Ils peuvent mettre le doigt sur la balance, en infligeant des amendes pour s'assurer que les entreprises voient les conséquences réelles de leur incapacité à protéger les consommateurs. Dans le passé, le CFPB a assumé ce rôle, même s’il n’a généralement pas participé aux mesures coercitives résultant de failles de sécurité. La Federal Trade Commission est également impliquée dans de nombreuses affaires, mais elle impose rarement une amende suffisamment importante pour entraîner de réelles conséquences pour les entreprises en question.
Donner un laissez-passer à Equifax? L'administration devrait se ranger du côté des consommateurs et s'efforcer de garantir que des piratages comme celui-ci #EquifaxBreach cela ne se reproduira plus. Ma facture avec @SenWarren serait un bon point de départ. https://t.co/iJ4neRvjut
–Mark Warner (@MarkWarner) 5 février 2018
La surveillance gouvernementale a tendance à être laxiste aux États-Unis, quel que soit le problème, mais la cybersécurité irrite particulièrement les régulateurs. Il est généralement difficile de savoir qui est le mieux équipé pour mener une enquête, et les dommages causés par des données compromises ne sont pas faciles à quantifier.
En 2013, Yahoo a subi la plus grande violation de données jamais enregistrée, exposant les données de ses trois milliards d'utilisateurs. Quelle punition est juste pour chaque exposition? La gravité de la perte de données est-elle importante? Comment quantifier les pertes subies par les victimes? Personne ne semble être d’accord et, plus important encore, la loi n’est pas d’accord non plus. Le fait que les conséquences pour les victimes varient également n’aide pas. Alors que certains pourraient voir leur crédit ruiné ou leurs impôts fraudés, d’autres ne subiront aucun préjudice, et il n’y a généralement aucun moyen de relier des violations spécifiques aux problèmes subis par des victimes spécifiques.
Ces complexités permettent aux entreprises, et à d’autres organisations, d’esquiver leurs responsabilités avec de maigres excuses. C’est exactement ce qu’Equifax a fait à la suite de son piratage en offrant aux victimes une surveillance gratuite en cas d’usurpation d’identité. C’est un geste raisonnable et apprécié, mais il ne va pas assez loin pour protéger les victimes. La surveillance n’arrête pas le vol d’identité pour vous et ne rembourse pas ce que vous avez perdu. Cela vous aide simplement à recoller les morceaux un peu plus rapidement que vous ne le feriez autrement.
Les violations de données quotidiennes ne doivent pas être inévitables
Il n’y a qu’une seule solution au problème. Nous avons besoin de nouvelles lois complètes qui tiennent les entreprises responsables des violations de sécurité.
Le Loi de 2018 sur la protection contre les violations de données et l'indemnisation pourrait être cette loi. Présenté au Congrès en janvier par la sénatrice Elizabeth Warren du Massachusetts et le sénateur Mark Warner de Virginie, le projet de loi crée un Bureau de la cybersécurité, au sein de la FTC, qui superviserait la sécurité des données des rapports sur les grands consommateurs agences. Ce nouveau bureau devra être informé de tout manquement dans un délai de 10 jours; Actuellement, les entreprises attendent des mois, voire des années, avant de révéler un problème.
Actuellement, les entreprises attendent des mois, voire des années, avant de révéler un problème.
Des sanctions spécifiques sont également prévues, à partir de 100 $ si le prénom et le nom d’un consommateur sont compromis, ainsi qu’au moins un élément d’information d’identification personnelle. 50 $ supplémentaires sont ajoutés pour chaque information supplémentaire divulguée. Même si nous ne savons pas exactement sur quoi se base le prix de ces amendes, il s’agit d’un système de pénalités. cela semble tirer des leçons des services de données mobiles et des FAI qui ajoutent de lourdes pénalités pour les données dépassements. Mieux encore, la moitié de l'amende perçue serait restituée aux victimes.
Ces pénalités s’additionnent. Le piratage d’Equifax entraînerait une pénalité d’environ 1,5 milliard de dollars. En fait, l’amende totale serait plus élevée, mais une disposition du projet de loi limite le maximum à un pourcentage des revenus d’une entreprise. Equifax survivrait sans aucun doute à une telle amende – son chiffre d’affaires annuel est de 3,1 milliards de dollars, après tout – mais elle est suffisamment élevée pour inciter toute entreprise à y réfléchir à deux fois avant de se relâcher en matière de cybersécurité.
Bien entendu, les entreprises ont protesté contre le projet de loi, et il semble peu probable qu’il soit adopté par le Congrès. Pourtant, c’est exactement l’action qui s’impose, et nous devrions tous nous rallier à une action en faveur d’une plus grande responsabilisation. L’apparition quasi quotidienne de failles de sécurité majeures fournit de nombreuses munitions à cette chronique. Mais je serais heureux de passer un peu plus de temps à réfléchir à des sujets si cela signifiait ébranler le spectre du vol d’identité imminent qui nous hante actuellement tous, que nous le sachions ou non.
Recommandations des rédacteurs
- Zoom vient de corriger une faille de sécurité majeure sur Mac. Voici pourquoi vous devriez mettre à jour maintenant
- Nvidia met en garde les propriétaires de ses GPU contre une dangereuse faille de sécurité
- Votre PC est-il en sécurité? Foreshadow est la faille de sécurité qu'Intel aurait dû prédire
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
