Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

RGPD : British Airways sous la menace d’une amende record de 204 millions d’euros

Comme un avion sans £
Droit 3 min
RGPD : British Airways sous la menace d’une amende record de 204 millions d’euros
Crédits : 3D_generator/iStock

L’Information Commissioner’s Office projette d’infliger une sanction de plus de 200 millions d’euros à l’encontre de British Airways. En cause, la violation des dispositions du règlement général sur la protection des données personnelles, suite à une fuite massives d’informations. 

Les faits remontent à septembre 2018. La compagnie aérienne avait notifié une fuite de données personnelles à l’autorité de contrôle britannique, comme l’oblige le RGPD dans les 72 heures à partir de la connaissance de la brèche.

« L’enquête de l’ICO a révélé que de nombreuses informations ont été compromises en raison du faible niveau de sécurité » explique l’administration dans son communiqué. Parmi ces informations, « des données de connexion, celles issues des cartes de paiement ou de réservation de voyage, ou encore des données nominatives ». 

« Cet incident, esquisse l’ICO, impliquait la redirection d’une partie du trafic utilisateurs vers un site frauduleux ». Là, un tiers a pu glaner les précieuses données de 500 000 clients entre juin et la date de notification. 

RiskIQ, société de gestion des risques, avait déjà attribué cette attaque à Magecart, groupe spécialisé dans les « skimmers », déjà à l'origine d’un précédent visant TicketMaster, toujours en juin 2018. À l’époque, les faits étaient similaires : d’un côté, « des logiciels malveillants introduits sur un produit de support client hébergé par Inbenta Technologies, un fournisseur externe à Ticketmaster », de l’autre, l’export de « données des clients britanniques vers un tiers inconnu ».  

Une sanction représentant 1,5 % du chiffre d'affaires mondial de l'entreprise

Pour le cas de British Airways, « les données personnelles doivent rester personnelles » insiste Élisabeth Denham, commissaire de l’ICO. Lorsqu’un organisme échoue à les protéger contre la perte, les dommages ou le vol, nous sommes au-delà du désagrément. Voilà pourquoi la loi est claire : lorsqu’on vous confie de telles données, vous devez les sécuriser ». 

La décision de sanction n’est pas encore complètement arrêtée. Si la compagnie aérienne a coopéré durant l’enquête et « amélioré » sa sécurité, elle doit maintenant plaider sa cause sur le sens de la décision et surtout le montant de l’amende projetée. 

La bonne coopération et la réactivité des responsables de traitements sont des comportements pris en compte par les autorités de contrôle avant le couperet final. « L’OIC examinera attentivement ses déclarations, mais également celles des autres autorités de protection des données concernées avant de prendre sa décision finale », temporise l'organisme. 

Si le montant est le plus haut jamais envisagé sur le socle du RGPD – quatre fois celui infligé par la CNIL à l'encontre de Google – c’est aussi parce que l’ICO est l’autorité-chef de file d’un dossier concernant plusieurs pays.

Le plafond du règlement est de 4 % du chiffre d’affaires mondial. Les 204 millions d’euros (ou 189,39 millions de livres) représentent 1,5 % du chiffre d’affaires mondial. Montant à relativiser puisque seuls les dommages occasionnés en Europe entrent dans le giron. 

Dans un communiqué, l’International Airlines Group, propriétaire de British Airways, se dit « surpris et déçu » par le projet de sanction de l’ICO. « British Airways a réagi rapidement » insiste l’un de ses responsables, Alex Cruz, assurant n’avoir « trouvé aucune preuve de fraude ou d’activité frauduleuse sur les comptes liés au vol ». Willie Walsh, directeur général d’IAG ajoute que la compagnie « prendra toutes les mesures nécessaires pour défendre vigoureusement la position de la compagnie aérienne, dont les voies de recours ». 

26 commentaires
Avatar de Nozalys Abonné
Avatar de NozalysNozalys- 08/07/19 à 15:52:50

Les pauvres petits choux, ils sont "déçus"... J'ai hâte de vivre le jour où une sanction exemplaire sera définitivement actée, histoire que ça génère des sueurs froides et autres frissons glacés dans le dos des PDG de certaines entreprises...

A choisir, entre une amende de 204 millions d'euros, ou 3 millions d'euros (10 ingés sur 2 ans + quelques PC & serveurs) d'investissement dans un système informatique fiable et sécurisé, la réflexion est faite immédiatement. Surtout que quand on a une infrastructure info dont on est fier, ça fait un argument marketing valable par les temps qui courent.. Donc ça rapporte aussi du pognon.

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 08/07/19 à 15:57:17

"Lorsqu’un organisme échoue à les protéger contre la perte, les dommages ou le vol, nous sommes au-delà du désagrément. Voilà pourquoi la loi est claire : lorsqu’on vous confie de telles données, vous devez les sécuriser »

Ok et le problème c'est "le faible niveau de sécurité", du coup ça serait intéressant de savoir ce qui caractérise ce faible niveau ici ? Si c'est changer une variable dans une URL je comprends, si c'est se faire poutrer par un malware spécialement développé pour l'occasion et introduit par la négligence d'un tiers prestataire/sous-traitant, ça me semble plus discutable.

A mon sens le RGPD fixe une obligation de moyens renforcés, pas de résultat. Aussi, si on met en œuvre toutes les techniques de sécurité conformes aux règles de l'art et à l'état de la science à un temps t et qu'on se fait malgré tout défoncer, ça me semble injuste de se faire sanctionner.

(Au passage la "CNIL" anglaise assure je trouve depuis la mise en œuvre du RGPD).

Avatar de Aloyse57 Abonné
Avatar de Aloyse57Aloyse57- 08/07/19 à 16:10:20

Au Québec une banque s'est fait voler les infos de 2.7 millions d'individus (sur une population de 8 millions, enfants inclus) par un individu qui a sciemment géré les relations inter-collègues pour s'approprier à la longue suffisamment de droits pour colliger ces infos.
Est-ce que si ça s'était passé en Europe, ça serait tombé sous le coup du RGPD, vu que c'était quasiment impossible à éviter ? N'importe où, un individu ou un ensemble d'individus à l'interne, peuvent mettre en place ce genre de stratagème, il ne faut pas se leurrer.

Avatar de PercevalIO INpactien
Avatar de PercevalIOPercevalIO- 08/07/19 à 16:27:33

J'aimerais que le prochain à payer soit Orange. La sécurité des mails est juste comique.

Avatar de grsbdl INpactien
Avatar de grsbdlgrsbdl- 08/07/19 à 16:31:36

Nozalys a écrit :

A choisir, entre une amende de 204 millions d'euros, ou 3 millions d'euros (10 ingés sur 2 ans + quelques PC & serveurs) d'investissement dans un système informatique fiable et sécurisé, la réflexion est faite immédiatement. Surtout que quand on a une infrastructure info dont on est fier, ça fait un argument marketing valable par les temps qui courent.. Donc ça rapporte aussi du pognon.

Nan nan, l'usage c'est plutôt de sous-traiter à une ESN qui va ébaucher 3~4 jeunes ingénieurs qui sortent tout juste de l'école et, accessoirement, faire intervenir un type expérimenté une ou deux fois dans l'année pour qu'il certifie que "rhoooo bah oui, c'est un travail d'expert, enfin je crois, bon en fait là j'ai des trucs plus intéressants à faire". Si ça passe et que 'est rentable : joie. Sinon, bah c'est que l'informatique c'est compliqué, mais promis on va investir (pas trop quand même) dans le big data, les micro-services et l'agilité digitale (vécu).

A titre perso, les seules fois où j'ai été fier d'un projet, c'était en PME. Les ESN c'est pas possible, ça pue, c'est mal torché, le turnover de malade fait que personne ne reste sur le projet (ou dans la boite) donc plus personne ne sait rien, et on doit officiellement dire au client "non non non, monsieur X n'a pas quitté la boite, il est en vacances, oui oui, depuis 6 mois (vécu)".

Édité par grsbdl le 08/07/2019 à 16:35
Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 08/07/19 à 16:34:14

ICO a écrit :

The proposed fine relates to a cyber incident notified to the ICO by British Airways in September 2018. This incident in part involved user traffic to the British Airways website being diverted to a fraudulent site. Through this false site, customer details were harvested by the attackers. Personal data of approximately 500,000 customers were compromised in this incident, which is believed to have begun in June 2018.

The ICO’s investigation has found that a variety of information was compromised by poor security arrangements at the company, including log in, payment card, and travel booking details as well name and address information.

J'en déduis que British Airline a géré la sécurité "a la rache".

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 08/07/19 à 16:37:04

CryoGen a écrit :

J'en déduis que British Airline a géré la sécurité "a la rache".

J'ai bien capté ce qui était touché, mais en cherchant sur le site j'ai rien trouvé pointant telle ou telle faille ou négligences. C'est dommage parce que c'est intéressant de savoir ce qui est une mauvaise pratique (typiquement comme utiliser un algo de chiffrement trop ancien etc...)

Parce qu'avoir accès à un log c'est mal, mais ça veut pas dire grand chose, tout comme des éléments d'une carte de crédit, si c'est juste un condensat tout seul on peut pas en faire grand chose etc...

Édité par crocodudule le 08/07/2019 à 16:38
Avatar de SebGF Abonné
Avatar de SebGFSebGF- 08/07/19 à 16:49:27

crocodudule a écrit :

(Au passage la "CNIL" anglaise assure je trouve depuis la mise en œuvre du RGPD).

Perso ce qui m'interroge par la suite justement, c'est comment cela va-t-il se passer après le Brexit. Le RGPD a des clauses d'extra territorialité, mais sauf erreur de ma part, elles n'ont pas encore été éprouvées ?

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 08/07/19 à 18:23:01

SebGF a écrit :

Perso ce qui m'interroge par la suite justement, c'est comment cela va-t-il se passer après le Brexit. Le RGPD a des clauses d'extra territorialité, mais sauf erreur de ma part, elles n'ont pas encore été éprouvées ?

Aucune idée pour le post brexit

Avatar de fred42 INpactien
Avatar de fred42fred42- 08/07/19 à 19:08:43

PercevalIO a écrit :

J'aimerais que le prochain à payer soit Orange. La sécurité des mails est juste comique.

Je ne sais pas ce que tu leur reproches, mais par défaut, le mail est mal sécurisé dans plein d'endroits.. C'est un peu une carte postale que tout le monde peut lire sur lors de son acheminement.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3