Getty Images
Cybersécurité : des entreprises cotées sanctionnées pour manque de sincérité
Le gendarme des marchés boursiers américains vient de décider de sanctionner Blackbaud pour « déclarations trompeuses » au sujet d’une cyberattaque avec ransomware. Une première.
C’était au mois de mai 2020. L’éditeur américain d’outils de gestion de la relation client (GRC, ou CRM en anglais, pour Customer Relationship Management) en mode SaaS Blackbaud était victime d’une cyberattaque. Plus de 120 organisations ont été affectées.
Deux mois plus tard, Blackbaud assurait avoir « réussi à empêcher » les assaillants de bloquer l’accès à ses systèmes et de chiffrer entièrement ses fichiers. Tout en les boutant hors des lieux. L’éditeur reconnaissait avoir versé la rançon demandée et cru sur parole les cybercriminels lui ayant assuré avoir détruit des données volées. Surtout, il affirmait qu’ils n’avaient pas accédé à des détails de cartes bancaires, d’informations de comptes bancaires ou de numéros de sécurité sociale.
Le ton change à la fin du mois de septembre. Dans une déclaration au gendarme des marchés boursiers américains, la SEC, Blackbaud indique alors avoir découvert, après le 16 juillet 2020, pour certains clients, « le cybercriminel a pu accéder à certains champs non chiffrés destinés aux informations sur les comptes bancaires, aux numéros de sécurité sociale, aux noms d’utilisateur et/ou aux mots de passe ». Les clients concernés ont été informés « dans la semaine du 27 septembre ».
Dans un communiqué, la SEC explique désormais avoir décidé de sanctionner BlackBaud pour n’avoir pas fourni ces éléments lors de sa déclaration trimestrielle d’août 2020 : « sans admettre ni nier les conclusions de la SEC, Blackbaud a accepté […] de payer une amende civile de 3 millions de dollars ».
Brett Callow, d’Emsisoft, n’a pas souvenir de précédent. Allan Liska, de Recorded Future, en entrevoit un, lié à une brèche, mais pas à une cyberattaque avec rançongiciel : en août 2021, la SEC avait infligé à Pearson une amende civile de 1 million de dollars pour des motifs comparables à ceux invoqués pour justifier la sanction contre Blackbaud.
En Europe, l’homologue roumain de la CNIL vient d’infliger des amendes à deux entreprises victimes de cyberattaque avec ransomware.