Histoire
Nommé PDG en 2005, Richard Smith oriente Equifax vers une stratégie de croissance externe et de monétisation des données de consommation. Sous son mandat, le chiffre d'affaires double pour atteindre 3,1 milliards de dollars en 2016. Cependant, cette course à la rentabilité occulte une gestion défaillante de l'infrastructure informatique. En mars 2017, le département de la Sécurité intérieure des États-Unis alerte les entreprises sur une vulnérabilité critique dans le logiciel Apache Struts. Malgré cette alerte, les équipes techniques d'Equifax ne parviennent pas à appliquer le correctif de sécurité sur tous les serveurs exposés.
L'intrusion débute en mai 2017. Les pirates s'introduisent dans le système et extraient des noms, des numéros de sécurité sociale, des dates de naissance et des adresses. Ce n'est qu'en juillet 2017 que l'entreprise détecte l'activité suspecte. La gestion de crise de Richard Smith est alors vivement critiquée : la direction attend six semaines avant d'informer le public, tandis que certains cadres vendent pour 1,8 million de dollars d'actions avant l'annonce officielle. Lorsque la nouvelle tombe en septembre 2017, l'action Equifax chute de 35 %, effaçant 4 milliards de dollars de capitalisation boursière.
La suite est un désastre de relations publiques et juridique. L'entreprise doit faire face à des enquêtes du Congrès et du FBI. En 2019, Equifax accepte de payer au moins 575 millions de dollars (pouvant aller jusqu'à 700 millions) dans le cadre d'un règlement global avec les autorités fédérales et les États. Le coût total de l'incident, incluant la cybersécurité et les frais juridiques, dépasse largement le milliard de dollars, marquant la fin de l'ère Smith par un départ en retraite immédiat sans bonus de performance pour l'année du sinistre.
Leçons à tirer
Le cas Equifax illustre le danger d'un décalage structurel entre la stratégie commerciale basée sur les données et l'investissement dans la cybersécurité. Pour les dirigeants, l'enseignement principal est que la sécurité informatique ne doit pas être traitée comme un coût opérationnel secondaire, mais comme une composante intrinsèque de la gestion des risques fiduciaires. L'échec de Richard Smith réside dans la promotion d'une culture de la performance financière au détriment de l'hygiène numérique de base (le "patching" logiciel). Ce dossier rappelle aux décideurs qu'une faille technique mineure peut entraîner une destruction de valeur massive et une perte de confiance systémique irréparable auprès du public et des régulateurs.
Auteur et organisation
Dirigeant : Richard Smith (Président-Directeur Général). Entreprise : Equifax Inc. Secteur : Services financiers (Agence de crédit). Performance : Perte de 4 milliards $ de capitalisation ; Amende de 575M$ ; 147 millions de victimes. Innovation clé : Centralisation massive des données de crédit (Big Data) sans infrastructure de protection adéquate.
Période
2005 – 2017
Sources
Image : https://www.nbcnews.com/business/consumer/former-equifax-ceo-blames-one-it-guy-massive-hack-n807956
https://www.wired.com/story/equifax-ceo-congress-testimony/
https://korben.info/equifax-breach-2017-histoire-complete.html