Le piratage de la SEC illustre les failles des agences fédérales US

WASHINGTON/NEW YORK (Reuters) - Le piratage informatique dont l'autorité boursière américaine (SEC) a été victime n'est que le dernier exemple en date de la vulnérabilité des données entreposées au plus haut niveau du gouvernement fédéral américain.

Mercredi, la SEC (Securities and Exchange Commission) a dit avoir découvert le mois dernier que des pirates avaient peut-être utilisé en 2016 certaines de ses données pour gagner de l'argent en Bourse.

Cette intrusion n'a rien d'extraordinaire, commente Dan Guido, PDG de Trail of Bits, qui conseille le gouvernement sur les questions de cybersécurité.

En dépit des efforts déployés par les administrations successives pour les limiter, ces brèches sont si fréquentes que beaucoup les considèrent comme routinières.

Ces dernières années, des hackers payés ou non par des Etats ont dérobé des données au fisc américain (Internal Revenue Service), au département d'Etat et aux agences de renseignement, y compris des millions de fiches d'employés gouvernementaux exfiltrées par l'armée chinoise, rappellent des responsables américains.

"Cela reflète simplement le statu quo concernant notre sécurité numérique", dit Dan Guido, qui a fait partie de l'équipe de sécurité informatique de la Réserve fédérale.

Au sein de la banque centrale américaine, des cas de piratage informatique ont été détectés par dizaines, dont plusieurs en 2012 qualifiés en interne de cas d'"espionnage".

Le gouvernement américain a fortement augmenté les fonds consacrés à la protection de ses systèmes informatiques au cours des dernières années, mais il est l'un des plus grands collecteurs au monde de données sensibles et constitue à ce titre une cible de choix, autant pour les pirates du secteur privé que pour ceux agissant pour le compte de gouvernements.

L'an dernier, les agences gouvernementales américaines pointaient au dernier rang d'un classement de cybersécurité établi par la société SecurityScorecard, derrière 17 grands secteurs économiques dont les transports, la distribution ou la santé.

Une mise à jour du classement le mois dernier a montré que le gouvernement se classait désormais avant-avant-dernier, devant les télécommunications et l'éducation.

"Nous devons aussi reconnaître, que ce soit dans le secteur public ou le privé, y compris à la SEC, qu'il y aura des intrusions, et qu'une composante capitale de la gestion du risque cybernétique est la résilience", a déclaré le président de la SEC, Jay Clayton.

Le piratage a concerné le système Edgar de la SEC qui gère les millions d'avis financiers publiés chaque année par les entreprises pour leur communication aux investisseurs.

Sa divulgation intervient deux semaines après l'annonce par Equifax, un groupe spécialisé dans les données personnelles de crédit, d'un vol massif de données susceptible de concerner jusqu'à 143 millions de personnes.

L'an dernier, ce sont les systèmes internes des banques membres du système international de messagerie interbancaire Swift qui avaient été victimes de piratages.

L'affaire est embarrassante pour Jay Clayton qui, à sa prise de fonction en mai, avait fait de la cybersécurité l'une de ses priorités pour le gendarme de Wall Street.

(Dustin Volz, Jason Lange, Jean-Stéphane Brosse pour le service français, édité par Véronique Tison)