La Federal Trade Commission rappelle les entreprises à leurs devoirs, à savoir protéger leurs clients des fuites d’information. Il convient donc de patcher sans tarder la faille de Log4j, sans quoi les resquilleurs subiront l’ire de la FTC.
Log4j, comme toute faille avant elle, a beau être corrigée, il peut s’écouler un certain temps avant que les entreprises n’appliquent le patch. Et encore, si elles l’appliquent… Certaines des attaques les plus médiatisées ces dernières années exploitaient des vulnérabilités connues et patchées, parfois depuis longtemps.
Si le risque d’une visite des cybercriminels ne suffit pas à inciter les organisations à appliquer les correctifs, peut-être les menaces de la FTC y parviendront-elles. L’agence fédérale américaine vient de prévenir, dans un communiqué, qu’elle sévira contre ceux qui ne patchent pas. « L'obligation de prendre des mesures raisonnables pour atténuer les vulnérabilités logicielles connues relèvent de lois, notamment la Federal Trade Commission Act et la Gramm Leach Bliley Act » rappelle la FTC.
700 millions de dollars
Elle estime « critique » la nécessité que les entreprises et leurs prestataires « agissent maintenant, afin de réduire la probabilité de préjudice pour les consommateurs et d'éviter les poursuites judiciaires de la FTC ». Et l’agence de rappeler le cas d’Equifax, dont la compromission n’avait pas coûté que sa réputation. L’entreprise s’était retrouvée à payer 700 millions de dollars à la FTC, au Consumer Financial Protection Bureau et à une cinquantaine d’Etats pour régler à l’amiable les poursuites qui se profilaient.
« La FTC a l'intention d'utiliser toute son autorité légale pour poursuivre les entreprises qui ne prennent pas de mesures raisonnables pour protéger les données des consommateurs contre l'exposition à Log4j ou à des vulnérabilités connues similaires à l'avenir » écrit l’agence. En d’autres termes, patchez ou vous en subirez des conséquences bien pires qu’une cyberattaque.