L’organisme de surveillance des services financiers a mis en garde la direction de Medibank Private, signalant qu’elle prendrait de nouvelles mesures contre les dirigeants de l’assureur maladie si la gestion des risques de l’entreprise s’avérait inadéquate.
L’Australian Prudential Regulation Authority (APRA) a déclaré lundi qu’elle avait intensifié sa surveillance de Medibank en réponse à la récente cyberattaque qui a exposé l’ensemble de sa base de données clients. Suzanne Smith, membre de l’APRA, a déclaré que le régulateur avait apporté sa contribution à l’examen externe annoncé par Medibank le 16 novembre pour s’assurer qu’il répondra aux exigences de l’APRA.
Les données sensibles des clients de Medibank ont été divulguées sur le dark web.Le crédit:Getty Images / Louise Kennerley
L’examen externe, qui sera effectué par Deloitte, examinera la cyberattaque, l’efficacité des contrôles de Medibank et sa réponse à l’incident.
“Alors que l’APRA note la réponse constructive de Medibank à ce jour, l’APRA examinera si d’autres mesures réglementaires sont nécessaires lorsque les conclusions du rapport deviendront claires”, a déclaré Smith.
“L’APRA s’attend à ce que Medibank entreprenne toutes les mesures correctives recommandées et s’assure qu’il y a une gestion appropriée des conséquences, y compris les impacts sur la rémunération des dirigeants, le cas échéant.”
Le sentiment du régulateur prudentiel fait écho à celui des conseillers en vote qui ont averti que la direction de Medibank devait être tenue responsable si l’examen Deloitte jugeait sa gestion de la cyberattaque inadéquate.
Avant l’AGA de Medibank ce mois-ci, CGI Glass Lewis a signalé que le renouvellement du conseil d’administration et des scalps exécutifs pourraient être nécessaires au cours de l’année à venir et a soulevé le spectre de la «récupération» de la rémunération des dirigeants pour tenir compte de toute lacune de la direction qui avait permis à l’attaque d’être si dommageable.
“Il se peut qu’en temps voulu, le conseil d’administration et l’équipe de direction aient besoin d’être renouvelés pour a) renforcer leurs compétences et leurs connaissances en matière de cybersécurité et b) montrer qu’ils sont responsables de la perte de confidentialité pour ses clients et de la perte de valeur pour les actionnaires de Medibank. “, a déclaré CGI.
Le directeur général de Medibank, David Koczkar, a déclaré que l’assureur-maladie consultait régulièrement l’APRA depuis le cyberincident. Cela comprenait des consultations sur la portée de l’examen externe par Deloitte.
