Connect with us

Technologie

BA fait valoir ICO violation de données amende jusqu’à £ 20m

Published

on


British Airways (BA) a été condamnée à une amende totale de 20 millions d’euros par le Bureau du Commissaire à l’information (ICO) pour une violation de données qui a compromis les données personnelles et financières de centaines de milliers de clients qui ont effectué des réservations et des modifications de leurs itinéraires sur son site Web à l’été 2018.

L’OIC avait initialement proposé d’infliger une amende de 183 millions d’euros à BA, ce qui aurait été la plus importante amende jamais perçue en vertu du Règlement général sur la protection des données (RGDP), mais après une série d’appels et de représentations, et compte tenu d’un certain nombre de facteurs, y compris l’impact de la pandémie de Covide-19 sur les finances de la compagnie aérienne, ce total a été réduit.

L’enquête subséquente de l’OIC a révélé que BA traitait une quantité importante de données à caractère personnel sans avoir en place de mesures de sécurité adéquates, une violation de la loi sur la protection des données, après quoi elle a été victime d’une cyberattaque qu’elle n’a pas détectée ou découverte de toute l’étendue de la loi sur la protection des données, après quoi elle a été victime d’une cyberattaque qu’elle n’a pas détectée ou découverte de toute l’étendue de la loi sur la protection des données, après quoi elle a été victime d’une cyberattaque qu’elle n’a pas détectée ou découverte de toute l’étendue de la loi sur la protection des données pendant un certain temps.

Le chien de garde a déclaré BA aurait dû identifier les faiblesses dans sa sécurité et les a résolus avec des mesures appropriées pour empêcher la cyberattaque d’être efficace.

« Les gens ont confié leurs renseignements personnels à BA et BA n’ont pas pris les mesures adéquates pour assurer la sécurité de ces détails », a déclaré la commissaire à l’information Elizabeth Denham.

« Leur incapacité à agir était inacceptable et a affecté des centaines de milliers de personnes, ce qui a pu causer de l’anxiété et de la détresse. C’est pourquoi nous avons accordé à BA une amende de 20 millions d’euros – notre plus importante à ce jour.

Denham a ajouté : « Lorsque les organisations prennent de mauvaises décisions concernant les données personnelles des gens, cela peut avoir un impact réel sur la vie des gens. La loi nous donne maintenant les outils nécessaires pour encourager les entreprises à prendre de meilleures décisions concernant les données, y compris en investissant dans la sécurité à jour.

Les cybercriminels à l’origine de l’attaque contre BA sont maintenant soupçonnés d’avoir accédé aux données personnelles de 429 612 clients et employés, y compris les noms, adresses, numéros de carte de paiement et numéros CVV de 244 000.

Ils ont également volé les numéros combinés de carte et de CVV de 77 000, les numéros de carte seulement de 108 000, ainsi que les noms d’utilisateur et les numéros d’identification personnels (NIP) de 612 membres du Executive Club de la compagnie aérienne, ainsi que les noms d’utilisateur et mots de passe pour les comptes d’employés et d’administrateurs de BA.

Dans son jugement final, l’OIC a déclaré que BA aurait dû prendre des mesures, notamment : limiter l’accès aux applications informatiques internes, aux données et aux outils uniquement à ce qui était nécessaire pour remplir le rôle d’un utilisateur; effectuer des exercices d’essais de pénétration et des simulations d’incidents; et la mise en œuvre de l’authentification multifacteur pour protéger les comptes des employés et des clients.

Elle a déclaré qu’aucune de ces mesures n’aurait entraîné des coûts excessifs ou des obstacles techniques – certains d’entre eux n’avaient qu’à être activés dans les systèmes d’exploitation Microsoft utilisés par BA.

Elle a également tenu compte du fait que BA n’avait pas détecté l’attaque initiale le 22 juin 2018 mais qu’elle avait été alertée début septembre après que les dégâts eurent été causés. L’OIC a déclaré qu’il n’était pas clair si ou non, ou quand, BA aurait remarqué l’attaque si un tiers n’était pas intervenu, ce qu’elle considérait comme un échec grave parce qu’il signifiait que le nombre de clients touchés aurait pu être beaucoup plus élevé.

Elle a toutefois noté qu’une fois que BA a pris conscience du problème, elle a agi rapidement, de manière appropriée et conformément au RGDPR, et qu’elle a depuis apporté des améliorations « considérables » à sa position en matière de sécurité. La compagnie aérienne a également offert à toutes les personnes touchées 12 mois d’adhésion à un service de vérification de crédit et de gestion.

Un porte-parole de BA a déclaré : « Nous avons alerté les clients dès que nous avons pris connaissance de l’attaque criminelle contre nos systèmes en 2018 et nous sommes désolés d’avoir répondu aux attentes de nos clients.

« Nous sommes heureux que l’OIC reconnaisse que nous avons apporté des améliorations considérables à la sécurité de nos systèmes depuis l’attaque et que nous avons pleinement coopéré à son enquête. »

Francis Gaffney, directeur du renseignement et de la réponse aux menaces chez Mimecast, a déclaré : « Les règlements ne sont pas seulement quelque chose que les organisations doivent respecter, ils devraient encourager l’amélioration des comportements et des meilleures pratiques. Trop souvent, la réglementation est considérée comme un fardeau, mais les organisations devraient commencer à la voir sous l’angle de leurs clients, partenaires ou employés. Si un client vous fait confiance avec ses données, vous lui devez de les protéger et de vous assurer qu’elles sont sécuritaires.

« De nombreuses organisations doivent payer des pénalités financières pour de telles atteintes à la protection des données et ce n’est qu’après que le coût d’une violation l’emporte maintenant sur les économies potentielles découlant du fait de ne pas investir dans des solutions de sécurité et de gestion des données. »

Gaffney a ajouté : « Il est souvent vrai que les dommages la réputation et l’image de marque de l’organisation éclipsent l’amende infligée. Cette violation est particulièrement préoccupante, car elle est passée inaperçue pendant un certain nombre de mois et beaucoup de données personnelles auraient pu être exposées.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending