Trois semaines. C’est le temps qui s’est écoulé entre le moment où Equifax a annoncé avoir été victime d’un piratage informatique et le moment où l’agence de crédit a montré la porte à son PDG, Rick Smith, mardi dernier.
L’intervalle a été court, mais compte tenu de la nature des activités d’Equifax, de l’ampleur du vol de données et de la manière que la crise a été gérée, certains diraient au contraire que le conseil d’administration a été clément et le sursis, généreux.
Ce n’est pas la première fois qu’une entreprise se fait dérober des informations à grande échelle. Yahoo! a vu les données d’un milliard de ses clients compromises. On se souviendra également piratage des infrastructures du site de rencontres extra conjugales Ashley Madison. Parmi les autres événements spectaculaires du genre, il faut mentionner l’intrusion par des pirates nord-coréens des serveurs informatiques de l’entreprise Sony.
Sur l’échelle de la gravité, Equifax vient de coiffer tous ces événements. Le nombre de clients touchés, d’abord: 143 millions de personnes. C’est moins que Yahoo! et son milliard de comptes affectés, mais les dégâts potentiels chez Equifax sont plus importants compte tenu du type d’informations volées: dates de naissance, adresses, numéros de sécurité sociale, numéros de carte de crédit… tout ce qu’il faut pour voler une identité.
Ce qui rend plus délicate encore la position de l’entreprise, c’est la manière dont elle obtient
ces informations, le plus souvent à l’insu des personnes concernées et, par conséquent, sans qu’elles y consentent.
Le modèle d’affaires de l’entreprise consiste à vendre à fort prix, dans un flot continu, ces informations à toutes sortes de prêteurs, mais aussi à des employeurs, à des propriétaires d’immeubles à logement. Equifax fait le bonheur de ses actionnaires avec des marges de profits de 35 % sur des revenus annuels de 3,5 G$. Mais dans l’esprit du grand public, sa réputation n’est pas irréprochable.
D’un point de vue des relations publiques, inutile d’avoir un diplôme en communications pour reconnaître le potentiel explosif de la situation. Apparemment, la direction de l’entreprise ne l’a pas détecté. Elle aurait dû entreprendre des actions à la fois musclées et sans équivoque. Il lui fallait démontrer qu’elle mettait tout en œuvre pour régler le problème. Et qu’elle se souciait des personnes touchées. À ce chapitre, Equifax a échoué. Lamentablement.
Entre le moment où l’entreprise a découvert l’exploitation de la faille informatique et celui où elle avisé le public, il s’est écoulé beaucoup de temps. Trop. On apprendra par la suite que la faille du système était connue avant l’acte de piratage. Pire : une solution existait déjà pour colmater la brèche et l’entreprise a tardé à l’appliquer.
Une prise.
Quand elle a finalement informé le public, elle s’est alors contentée de publier un communiqué de presse et de publier une vidéo plutôt soporifique dans laquelle son PDG s’excuse de manière timide. Les internautes en ont fait leurs choux gras sur les réseaux sociaux.
Fausse balle. Deuxième prise.
L’entreprise est allée plus loin tout de même en offrant aux victimes la possibilité de recourir gratuitement à son service de protection d’identité, un abonnement offert habituellement moins de 20 dollars par mois. Mais elle gaffe. Pour profiter du service, les clients doivent renoncer à toute poursuite. En demandant aux personnes lésées de brader leurs options juridiques, Equifax donne l’impression de vouloir les berner. À cela s’ajoute un gênant cafouillage, car dans le processus, elle dirige les victimes vers un site d’hameçonnage via son compte Twitter.
Troisième prise. Retiré.
Tout un travail attend le nouveau dirigeant d’Equifax. Il devra faire preuve d’une réelle empathie et poser des actions vigoureuses pour corriger la situation et dédommager les victimes.
Dans le meilleur des cas, la réputation de l’entreprise et de toute l’industrie restera longtemps entachée.
Et dans le pire, Equifax et ses concurrents pourraient se voir imposer une sévère règlementation. Ce qui serait le mieux pour tout le reste du monde.
