Le ministère de la Justice pris dans de multiples cyberincidents

Le ministère britannique de la Justice (MoJ) a signalé un total de 16 violations de données et autres incidents de cybersécurité au Bureau du commissaire à l’information (ICO) au cours de l’exercice 2020-21 (12 mois jusqu’au 31 mars 2021), y compris deux attaques de ransomware contre des tiers dans lesquelles les données du département pourraient avoir été compromises.

Les deux incidents de ransomware étaient l’attaque d’octobre 2020 contre le conseil d’arrondissement de Hackney, qui, selon le ministère de la Justice, pourrait avoir affecté les données qu’il avait partagées avec le conseil, et contre Ubiqus, un fournisseur accrédité par le ministère de la Justice d’enregistrements judiciaires et de services de transcription, qui a été touché en décembre 2020.

L’ICO enquête toujours sur l’incident de Hackney, et son enquête sur l’attaque contre Ubiqus s’est terminée sans qu’aucune autre mesure ne soit prise. Selon le rapport annuel et les comptes du ministère de la Justice, publiés le 16 décembre 2021, les deux cas ont affecté les données d’un nombre inconnu de personnes.

Donal Blaney, fondateur de Griffin Law, spécialiste des litiges de niche, qui a analysé les données du ministère de la Justice, a déclaré que le nombre d’incidents était une préoccupation compte tenu de la nature du travail du ministère.

« Pour que l’état de droit ait un sens, les tribunaux doivent être correctement financés, dotés d’un personnel adéquat et gérés avec compétence », a-t-il déclaré. « Si le MoJ et le HMCTS [HM Courts and Tribunals Service] ne peuvent pas mettre de l’ordre dans leurs propres maisons, quelle foi pouvons-nous avoir en tant que société que notre système de justice n’est pas géré d’une manière aussi inepte?

Edward Blake, vice-président régional emea pour Absolute Software, a déclaré que l’augmentation de la sophistication et de la quantité d’attaques de ransomware au cours des deux dernières années signifiait que même si elles n’étaient pas directement touchées, les organisations devaient être conscientes que leurs données étaient toujours exposées à des incidents chez des tiers.

« Toutes les organisations ont été, et continueront d’être, touchées par cette tendance croissante à la menace », a-t-il déclaré. « En conséquence, il n’est plus sûr de supposer que les mauvais acteurs n’ont pas déjà obtenu les moyens de violer le système d’une entreprise.

« Par conséquent, la mise en œuvre de protocoles zero-trust pour empêcher les parties malveillantes de se déplacer latéralement dans le réseau d’une entreprise est une précaution vitale que les organisations doivent prendre pour se protéger contre cette cybermenace élevée. »

Parmi les autres incidents signalés par le ministère de la Justice, il y avait une erreur dans une installation de numérisation en vrac d’un tiers, qui a conduit à l’attribution injustifiée de renseignements au tribunal, et un certain nombre de cas dans lesquels les noms et les adresses confidentielles des victimes d’actes criminels et de violence familiale ont été partagés à tort, ce qui soulève des préoccupations en matière de protection.

Le ministère de la Justice a également été victime d’incidents d’erreur de l’utilisateur – dans un cas, le flux audio d’une plate-forme vidéo en nuage relatif à une audience d’ordonnance de soins provisoires a été accidentellement diffusé en direct sur Facebook – et des initiés malveillants – un membre du personnel a été trouvé pour avoir accédé et pris des captures d’écran d’un système informatique de la prison, divulguant des données confidentielles de 72 délinquants.

Dans un autre cas, le statut vaccinal Contre le Covid-19 de 25 membres du personnel pénitentiaire a été mis en danger après qu’un membre du personnel d’un fournisseur de soins de santé au travail tiers a fait cambrioler sa voiture.

L’incident le plus percutant a touché 5 231 personnes et 53 entreprises, et a vu des modifications inexactes apportées aux données sur les plaidoyers à la suite de l’utilisation d’une installation de modification en vrac pour mettre à jour les cas d’audiences des magistrats qui avaient été ajournées en raison de Covid-19. La réponse de l’ICO à cet incident est toujours en attente.

Le ministère de la Justice a également constaté 6 267 autres incidents qui n’ont pas atteint le seuil de déclaration des ICO. La plupart d’entre elles concernaient des informations divulguées par erreur, par exemple des données envoyées à la mauvaise adresse e-mail.

Le ministère de la Justice a déclaré qu’il prenait très au sérieux tous les incidents de perte de données personnelles et que le ministère exigeait que tout le personnel suive une formation obligatoire sur la protection des données lorsqu’il s’inscrit, puis tous les 12 mois.

Il a déclaré qu’il continuait de surveiller et d’évaluer ses risques liés aux données pour identifier et corriger les faiblesses, et qu’il avait récemment mis en œuvre de nouveaux processus pour améliorer sa capacité à effectuer une analyse des causes profondes des incidents et à prendre des mesures correctives.