L'ex-RSSI d'Uber coupable d'obstruction suite au piratage de 2016

La justice a reconnu coupable Joe Sullivan, ancien RSSI d'Uber, pour avoir dissimulé le piratage de la firme en 2016 aux autorités publiques. Une condamnation qui pose la question de la responsabilité personnelle des responsables de la sécurité.

Coupable. Le verdict est tombé pour Joe Sullivan, l’ancien CSO (Chief Security Officer) d’Uber. Un jury fédéral a estimé que le responsable a fait « obstruction aux procédures de la FTC et une tentative de dissimulation du piratage de 2016 chez Uber ». A l’issue de la sentence, l’Attorney du District Nord de Californie, Stéphanie Hinds, a sermonné les entreprises sur leur responsabilité dans le stockage des données. « Elles doivent protéger ces données et alerter les clients et les autorités appropriées quand elles sont dérobées par des pirates », glisse-t-elle.

Pour mémoire, Joe Sullivan s’est efforcé de dissimuler la violation de données à la FTC (Federal Trade Commission) et a pris des mesures pour empêcher les pirates d’être pris. Pour l’avocat de l’ancien RSSI, David Angeli, « le seul objectif de Mr Sullivan, dans cet incident et tout au long de sa brillante carrière, a été de garantir la sécurité des données personnelles des gens sur Internet ». Dans un entretien au New York Times, l’avocat a jugé « être en désaccord avec le verdict du jury ».

Un impact à long terme sur la responsabilité des RSSI aux US

Pour mémoire, le piratage d’Uber en 2016 avait touché plus de 57 millions de données personnelles (noms, d’adresses email et de numéros de téléphone de clients et de conducteurs). Le service de VTC aurait payé 100 000 $ aux pirates informatiques pour supprimer les données et éviter leur diffusion. C’est en 2017 que l’information a été diffusée par le CEO Dara Khosrowshahi, qui a remplacé Travis Kalanick. A cette époque, deux personnes avaient été licenciées dont Joe Sullivan. Après une enquête du DOJ, les deux auteurs du piratage ont été arrêtés et reconnus coupables fin octobre 2019.

Le procès de l’ancien RSSI ne concerne pas les brèches utilisées par les cybercriminels, mais bien la responsabilité personnelle de celui-ci et la qualification de son comportement en tant que crime. A l’avenir les CSO et CISO risquent d’être en désaccord avec leurs dirigeants quand ils prennent une décision stratégique exposant l’entreprise à un risque, même atténué. Comme le savent tous les CSO/CISO, la sécurité à 100 % n'existe pas. Est-ce que le verdict dans l’affaire Uber va changer les comportements des RSSI aux Etats-Unis ? Les mois à venir diront s’il s’agit d’une évolution positive ou d’un choc pour le système. Les équipes juridiques des entreprises regarderont attentivement la protection des données personnelles au regard de la jurisprudence Sullivan. Ce dernier attend maintenant de connaître sa peine qui peut aller jusqu’à 8 ans de prison.