Trouvant un accord à l’amiable avec la FTC, l’agence de crédit s’en sort en signant un gros chèque. Il doit ainsi débourser 575 millions de dollars au minimum, un montant susceptible de grimper à 700 millions. Pour mémoire, Equifax se voyait reproché d’avoir négligé la sécurité des données de ses clients, négligence ayant mené au vol des informations personnelles de 147 millions d’entre eux.
« Des systèmes informatiques complexes et obsolètes » , « plus de 300 certificats de sécurité, dont 79 pour la surveillance de domaines critiques » expirés, un « manque de responsabilisation et de structure de gestion »… telles étaient les conclusions d’un rapport de la Chambre des Représentants américaine concernant Equifax publié en décembre 2018.
Un an auparavant, en septembre 2017, l’agence de crédit reconnaissait avoir été victime d’une attaque informatique lors de laquelle les données de 148 millions de clients avaient été dérobées. La responsabilité de l’entreprise avait clairement été établie et sa défense étrillée, ses CEO, RSSI et DSI débarqués, d’autant que certains cadres étaient accusés de délits d’initiés, vendant leurs actions la veille de la divulgation du vol. La fuite a valu à l’agence une amende de 500 000 livres en Grande-Bretagne, la peine maximale à l’époque.
Pourtant, de nombreux observateurs estiment qu’avec la FTC, Equifax s’en sort bien. Le régulateur américain vient en effet d’annoncer un règlement à l’amiable des poursuites engagées à l’encontre de l’agence. Equifax accepte de verser un minimum de 575 millions de dollars. 300 millions vont au fonds « qui fournira aux consommateurs concernés des services de surveillance de crédit. Le fonds indemnisera également les consommateurs qui ont acheté des services de surveillance de l'identité ou de crédit auprès d'Equifax et ont payé d'autres frais supplémentaires à la suite de la violation de données de 2017 » explique la FTC.
Sous surveillance
100 millions seront versés au Consumer Financial Protection Bureau à titre de sanction, et 175 millions supplémentaires aux Etats américains. A noter qu’Equifax devra verser 125 millions de dollars de plus au fonds si jamais celui-ci devait s’avérer insuffisant à dédommager les victimes. Le tout est assorti d’obligations en matière de sécurité et de conformité, notamment des audits internes annuels des risques et un externe au moins tous les deux ans, des tests réguliers y compris auprès de ses prestataires… le tout sous l’œil vigilant de la FTC.
De même, Equifax devra gracieusement fournir aux victimes du vol de données des services de crédit et de surveillance d’identité, sans pouvoir faire son marketing sur ce sujet. Des notices informatives devront également être publiées sur des sites et dans des journaux. « Equifax n’a pas pris les mesures de base qui auraient pu empêcher l’infraction qui touche environ 147 millions de consommateurs. Ce règlement exige que la société prenne des mesures pour améliorer la sécurité de ses données et garantisse que les consommateurs lésés par cette violation puissent recevoir de l'aide pour se protéger du vol d'identité et de la fraude » explique Joe Simons, le président de la FTC.