Cyberattaque: un dirigeant d’Equifax inculpé pour délit d’initié

Equifax a révélé en septembre une intrusion dans ses bases de données.
Photo: Mike Stewart Associated Press Equifax a révélé en septembre une intrusion dans ses bases de données.

New York — Un dirigeant d’Equifax qui a vendu ses actions avant que l’agence de crédit n’officialise la cyberattaque massive dont elle a été victime en 2017 a été inculpé mercredi pour délit d’initié, une première dans cette affaire.

Jun Ying, qui était directeur informatique d’une des activités américaines d’Equifax, a exercé ses options d’achat d’actions et liquidé ces titres bien avant l’annonce au grand public du piratage informatique, affirme la SEC, le gendarme de la Bourse, dans un communiqué. Il a ainsi pu collecter 1 million au lieu d’enregistrer une perte de 117 000 $US s’il avait cédé ses actions après l’officialisation de la cyberattaque, dont l’annonce a entraîné un décrochage boursier du titre Equifax.

M. Ying est le premier dirigeant d’Equifax à être inculpé et poursuivi dans cette affaire. Le procureur fédéral de Géorgie a annoncé des poursuites pénales à son encontre. « Comme indiqué dans notre plainte, Ying a utilisé des informations confidentielles concluant que son entreprise avait été affectée par un vol massif de données et a liquidé ses titres avant que la nouvelle soit rendue publique », fustige Richard Best, un responsable de la SEC basé à Atlanta. « Les dirigeants d’entreprise au courant d’informations confidentielles incluant des intrusions informatiques ne peuvent les utiliser à leur seul avantage financier. »

Equifax, qui récolte et analyse les données personnelles de clients qui sollicitent un crédit, a révélé début septembre une intrusion entre la mi-mai et la fin de juillet dans ses bases de données. Les informations personnelles (noms, numéros de sécurité sociale, dates de naissance…) de plus de 147 millions de clients aux États-Unis principalement, mais aussi dans d’autres pays comme le Canada et le Royaume-Uni, ont été dérobées.

Des enquêtes et des actions juridiques en nom collectif ont suivi. Outre le piratage lui-même, les enquêteurs s’interrogent sur la vente d’actions par des cadres dirigeants dans les jours ayant suivi la découverte de l’attaque fin juillet 2017. Le p.-d.g. du groupe Richard Smith a démissionné fin septembre, après deux responsables de la sécurité.

Le piratage pourrait coûter plus de 150 millions à l’entreprise, avait évalué en novembre Equifax, qui a enregistré une désaffection des clients.