En juin 2025, Aflac Inc. a été confrontée à une importante violation de cybersécurité qui a exposé des données sensibles appartenant à des millions de clients, employés et agents. Cet incident, attribué au groupe de cybercriminalité Scattered Spider, a suscité de vives inquiétudes parmi les actionnaires concernant la préparation de l’entreprise en matière de cybersécurité et ses pratiques de gouvernance.
La violation met en lumière une défaillance critique de la gouvernance d’entreprise, notamment dans la supervision par le conseil d’administration des mesures de cybersécurité. Les systèmes d’Aflac ont été compromis par des tactiques d’ingénierie sociale, une vulnérabilité qui aurait dû être corrigée par des évaluations de risques approfondies et des audits de tiers. Des poursuites judiciaires des actionnaires sont déjà en cours, remettant en question si le conseil a échoué à mettre en place des mesures de cybersécurité robustes, retardé les divulgations ou manqué de l’expertise nécessaire pour une supervision efficace.
Aflac a détecté la violation le 12 juin 2025, mais a attendu jusqu’au 20 juin pour la divulguer, un retard de huit jours qui soulève des questions sur la transparence. Selon la règle de divulgation en matière de cybersécurité de la SEC de 2023, les entreprises doivent signaler les violations significatives dans les quatre jours ouvrables suivant la détermination de leur matérialité. Les investisseurs examinent si ce délai était nécessaire pour évaluer l’ampleur de la violation ou s’il s’agissait d’un effort calculé pour éviter une panique sur le marché.
L’entreprise fait maintenant face à d’éventuelles sanctions réglementaires, des poursuites des actionnaires et des dommages à sa réputation. L’exposition d’informations sensibles pourrait entraîner des amendes du ministère de la Santé et des Services sociaux, et des lois d’État comme le CCPA de Californie pourraient imposer des pénalités supplémentaires pour les notifications retardées. Les actionnaires envisagent également des actions en justice, car la violation a entraîné une baisse de 4,2 % du cours de l’action d’Aflac.
Pour protéger leurs intérêts, les actionnaires sont encouragés à s’engager dans les enquêtes en cours, à exiger de la transparence de la part du conseil d’administration d’Aflac et à envisager des recours juridiques si des devoirs fiduciaires ont été violés. Il est également recommandé de diversifier les investissements vers des assureurs ayant des profils de cybersécurité solides.
La violation chez Aflac sert de signal d’alarme pour la gouvernance d’entreprise. Les investisseurs doivent exiger des comptes des conseils d’administration sur la cybersécurité et la gestion des risques pour assurer le succès à long terme à une époque de menaces cybernétiques croissantes.
