RGPD : British Airways sous la menace d’une amende record de 204 millions d’euros

RGPD : British Airways sous la menace d’une amende record de 204 millions d’euros

Comme un avion sans £

Avatar de l'auteur
Marc Rees

Publié dans

Droit

08/07/2019 4 minutes
26

RGPD : British Airways sous la menace d’une amende record de 204 millions d’euros

L’Information Commissioner’s Office projette d’infliger une sanction de plus de 200 millions d’euros à l’encontre de British Airways. En cause, la violation des dispositions du règlement général sur la protection des données personnelles, suite à une fuite massives d’informations. 

Les faits remontent à septembre 2018. La compagnie aérienne avait notifié une fuite de données personnelles à l’autorité de contrôle britannique, comme l’oblige le RGPD dans les 72 heures à partir de la connaissance de la brèche.

« L’enquête de l’ICO a révélé que de nombreuses informations ont été compromises en raison du faible niveau de sécurité » explique l’administration dans son communiqué. Parmi ces informations, « des données de connexion, celles issues des cartes de paiement ou de réservation de voyage, ou encore des données nominatives ». 

« Cet incident, esquisse l’ICO, impliquait la redirection d’une partie du trafic utilisateurs vers un site frauduleux ». Là, un tiers a pu glaner les précieuses données de 500 000 clients entre juin et la date de notification. 

RiskIQ, société de gestion des risques, avait déjà attribué cette attaque à Magecart, groupe spécialisé dans les « skimmers », déjà à l'origine d’un précédent visant TicketMaster, toujours en juin 2018. À l’époque, les faits étaient similaires : d’un côté, « des logiciels malveillants introduits sur un produit de support client hébergé par Inbenta Technologies, un fournisseur externe à Ticketmaster », de l’autre, l’export de « données des clients britanniques vers un tiers inconnu ».  

Une sanction représentant 1,5 % du chiffre d'affaires mondial de l'entreprise

Pour le cas de British Airways, « les données personnelles doivent rester personnelles » insiste Élisabeth Denham, commissaire de l’ICO. Lorsqu’un organisme échoue à les protéger contre la perte, les dommages ou le vol, nous sommes au-delà du désagrément. Voilà pourquoi la loi est claire : lorsqu’on vous confie de telles données, vous devez les sécuriser ». 

La décision de sanction n’est pas encore complètement arrêtée. Si la compagnie aérienne a coopéré durant l’enquête et « amélioré » sa sécurité, elle doit maintenant plaider sa cause sur le sens de la décision et surtout le montant de l’amende projetée. 

La bonne coopération et la réactivité des responsables de traitements sont des comportements pris en compte par les autorités de contrôle avant le couperet final. « L’OIC examinera attentivement ses déclarations, mais également celles des autres autorités de protection des données concernées avant de prendre sa décision finale », temporise l'organisme. 

Si le montant est le plus haut jamais envisagé sur le socle du RGPD – quatre fois celui infligé par la CNIL à l'encontre de Google – c’est aussi parce que l’ICO est l’autorité-chef de file d’un dossier concernant plusieurs pays.

Le plafond du règlement est de 4 % du chiffre d’affaires mondial. Les 204 millions d’euros (ou 189,39 millions de livres) représentent 1,5 % du chiffre d’affaires mondial. Montant à relativiser puisque seuls les dommages occasionnés en Europe entrent dans le giron. 

Dans un communiqué, l’International Airlines Group, propriétaire de British Airways, se dit « surpris et déçu » par le projet de sanction de l’ICO. « British Airways a réagi rapidement » insiste l’un de ses responsables, Alex Cruz, assurant n’avoir « trouvé aucune preuve de fraude ou d’activité frauduleuse sur les comptes liés au vol ». Willie Walsh, directeur général d’IAG ajoute que la compagnie « prendra toutes les mesures nécessaires pour défendre vigoureusement la position de la compagnie aérienne, dont les voies de recours ». 

26

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une sanction représentant 1,5 % du chiffre d'affaires mondial de l'entreprise

Commentaires (26)


Les pauvres petits choux, ils sont “déçus”… J’ai hâte de vivre le jour où une sanction exemplaire sera définitivement actée, histoire que ça génère des sueurs froides et autres frissons glacés dans le dos des PDG de certaines entreprises…



A choisir, entre une amende de 204 millions d’euros, ou 3 millions d’euros (10 ingés sur 2 ans + quelques PC & serveurs) d’investissement dans un système informatique fiable et sécurisé, la réflexion est faite immédiatement. Surtout que quand on a une infrastructure info dont on est fier, ça fait un argument marketing valable par les temps qui courent.. Donc ça rapporte aussi du pognon.


“Lorsqu’un organisme échoue à les protéger contre la perte, les dommages ou le vol, nous sommes au-delà du désagrément. Voilà pourquoi la loi est claire : lorsqu’on vous confie de telles données, vous devez les sécuriser »



Ok et le problème c’est “le faible niveau de sécurité”, du coup ça serait intéressant de savoir ce qui caractérise ce faible niveau ici ? Si c’est changer une variable dans une URL je comprends, si c’est se faire poutrer par un malware spécialement développé pour l’occasion et introduit par la négligence d’un tiers prestataire/sous-traitant, ça me semble plus discutable.



A mon sens le RGPD fixe une obligation de moyens renforcés, pas de résultat. Aussi, si on met en œuvre toutes les techniques de sécurité conformes aux règles de l’art et à l’état de la science à un temps t et qu’on se fait malgré tout défoncer, ça me semble injuste de se faire sanctionner.



(Au passage la “CNIL” anglaise assure je trouve depuis la mise en œuvre du RGPD).


Au Québec une banque s’est fait voler les infos de 2.7 millions d’individus (sur une population de 8 millions, enfants inclus) par un individu qui a sciemment géré les relations inter-collègues pour s’approprier à la longue suffisamment de droits pour colliger ces infos.

Est-ce que si ça s’était passé en Europe, ça serait tombé sous le coup du RGPD, vu que c’était quasiment impossible à éviter ? N’importe où, un individu ou un ensemble d’individus à l’interne, peuvent mettre en place ce genre de stratagème, il ne faut pas se leurrer.


J’aimerais que le prochain à payer soit Orange. La sécurité des mails est juste comique.








Nozalys a écrit :



A choisir, entre une amende de 204 millions d’euros, ou 3 millions d’euros (10 ingés sur 2 ans + quelques PC & serveurs) d’investissement dans un système informatique fiable et sécurisé, la réflexion est faite immédiatement. Surtout que quand on a une infrastructure info dont on est fier, ça fait un argument marketing valable par les temps qui courent.. Donc ça rapporte aussi du pognon.






 Nan nan, l'usage c'est plutôt de sous-traiter à une ESN qui va ébaucher 3~4 jeunes ingénieurs qui sortent tout juste de l'école et, accessoirement, faire intervenir un type expérimenté une ou deux fois dans l'année pour qu'il certifie que "rhoooo bah oui, c'est un travail d'expert, enfin je crois, bon en fait là j'ai des trucs plus intéressants à faire". Si ça passe et que 'est rentable : joie. Sinon, bah c'est que l'informatique c'est compliqué, mais promis on va investir (pas trop quand même) dans le big data, les micro-services et l'agilité digitale (vécu).    



A titre perso, les seules fois où j’ai été fier d’un projet, c’était en PME. Les ESN c’est pas possible, ça pue, c’est mal torché, le turnover de malade fait que personne ne reste sur le projet (ou dans la boite) donc plus personne ne sait rien, et on doit officiellement dire au client “non non non, monsieur X n’a pas quitté la boite, il est en vacances, oui oui, depuis 6 mois (vécu)”.









ICO a écrit :



The proposed fine relates to a cyber incident notified to the ICO by British Airways in September 2018. This incident in part involved user traffic to the British Airways website being diverted to a fraudulent site. Through this false site, customer details were harvested by the attackers. Personal data of approximately 500,000 customers were compromised in this incident, which is believed to have begun in June 2018.



The ICO’s investigation has found that a variety of information was compromised by poor security arrangements at the company, including log in, payment card, and travel booking details as well name and address information.







J’en déduis que British Airline a géré la sécurité “a la rache”.









CryoGen a écrit :



J’en déduis que British Airline a géré la sécurité “a la rache”.






J'ai bien capté ce qui était touché, mais en cherchant sur le site j'ai rien trouvé pointant telle ou telle faille ou négligences. C'est dommage parce que c'est intéressant de savoir ce qui est une mauvaise pratique (typiquement comme utiliser un algo de chiffrement trop ancien etc...)   





Parce qu’avoir accès à un log c’est mal, mais ça veut pas dire grand chose, tout comme des éléments d’une carte de crédit, si c’est juste un condensat tout seul on peut pas en faire grand chose etc…









crocodudule a écrit :



(Au passage la “CNIL” anglaise assure je trouve depuis la mise en œuvre du RGPD).







Perso ce qui m’interroge par la suite justement, c’est comment cela va-t-il se passer après le Brexit. Le RGPD a des clauses d’extra territorialité, mais sauf erreur de ma part, elles n’ont pas encore été éprouvées ?









SebGF a écrit :



Perso ce qui m’interroge par la suite justement, c’est comment cela va-t-il se passer après le Brexit. Le RGPD a des clauses d’extra territorialité, mais sauf erreur de ma part, elles n’ont pas encore été éprouvées ?





Aucune idée pour le post brexit









PercevalIO a écrit :



J’aimerais que le prochain à payer soit Orange. La sécurité des mails est juste comique.







Je ne sais pas ce que tu leur reproches, mais par défaut, le mail est mal sécurisé dans plein d’endroits.. C’est un peu une carte postale que tout le monde peut lire sur lors de son acheminement.



Toi tu t trompé de forum. Aller au revoir


Ce sous-titre, vous avez osé ! Reste à voir si beaucoup saisissent la référence.








Aloyse57 a écrit :



Au Québec une banque s’est fait voler les infos de 2.7 millions d’individus (sur une population de 8 millions, enfants inclus) par un individu qui a sciemment géré les relations inter-collègues pour s’approprier à la longue suffisamment de droits pour colliger ces infos.

Est-ce que si ça s’était passé en Europe, ça serait tombé sous le coup du RGPD, vu que c’était quasiment impossible à éviter ? N’importe où, un individu ou un ensemble d’individus à l’interne, peuvent mettre en place ce genre de stratagème, il ne faut pas se leurrer.

 



Travaillant dans une grande banque en France, je pense que les leçons de l’affaire Kerviel ont été tirées et sont appliquées. Concrètement, une personne ne peut pas recevoir de droits “parce-qu’elle connaît quelqu’un”, mais uniquement parce-qu’elle en a besoin pour son travail. Et l’ensemble des droits sont revus régulièrement. Je pense que ce que tu décris aurait été possible dans les années 2000, mais ne le serait plus aujourd’hui.

 





crocodudule a écrit :



J’ai bien capté ce qui était touché, mais en cherchant sur le site j’ai rien trouvé pointant telle ou telle faille ou négligences. C’est dommage parce que c’est intéressant de savoir ce qui est une mauvaise pratique (typiquement comme utiliser un algo de chiffrement trop ancien etc…)



Parce qu’avoir accès à un log c’est mal, mais ça veut pas dire grand chose, tout comme des éléments d’une carte de crédit, si c’est juste un condensat tout seul on peut pas en faire grand chose etc…





Il y a quand-même un certain nombre d’organismes et de référentiels de sécurité qui recensent un certain nombre de “bonnes pratiques”… ou de designs à éviter, et pour certains proposent des outils de détection. Par exemple :












anagrys a écrit :



Travaillant dans une grande banque en France, je pense que les leçons de l’affaire Kerviel ont été tirées et sont appliquées. Concrètement, une personne ne peut pas recevoir de droits “parce-qu’elle connaît quelqu’un”, mais uniquement parce-qu’elle en a besoin pour son travail. Et l’ensemble des droits sont revus régulièrement. Je pense que ce que tu décris aurait été possible dans les années 2000, mais ne le serait plus aujourd’hui.

 



Il y a quand-même un certain nombre d’organismes et de référentiels de sécurité qui recensent un certain nombre de “bonnes pratiques”… ou de designs à éviter, et pour certains proposent des outils de détection. Par exemple :

OWASPMitreSANS/CWESEI



Oui, tout comme l’ANSSI (la CNIL se fondant régulièrement sur son travail).



Mais avoir un document de référence clairement viser par la CNIL serait une bonne chose, elle l’a fait sur certains éléments (algos de hash et de chiffrement, mot de passe etc…), ça serait bien sur d’autres points techniques.



Et là certains vont citer Michel Bussi. <img data-src=" />


Développement à la rache ?https://www.la-rache.com/publications.html L’ancêtre du développement agile <img data-src=" />








PercevalIO a écrit :



J’aimerais que le prochain à payer soit Orange. La sécurité des mails est juste comique.





Je ne pense pas que cela arrivera. J’ai porté aux oreilles de la CNIL le cas d’un organisme publique qui m’a envoyé par courriel une confirmation de mise en place de paiement par virement SEPA en mettant en clair mon RIB, mon adresse, mon nom et mes téléphone. La CNIL n’y a rien trouvé de problématique.



C’est ça <img data-src=" />


Je suis juste une fille qui aime être traitée comme une salope, je veux entendre tes fantasmes et ce que tu voudrais faire de moi.http://tindersex.cf/lalachau Rien n’est tabou, tout m’excite!








RévolutioN a écrit :



Grâce aux Brexit ils n’auront rien à payer car le RPpédé ne s’appliquera pas à eux, leur état redevenant libre et indépendant.





Commentaire d’une intelligence folle… C’est là CNIL locale qui fait cela et donc le veut. Elle aurait très bien pu ne pas infliger d’amande ou 10£









the_frogkiller a écrit :



Commentaire d’une intelligence folle… C’est là CNIL locale qui fait cela et donc le veut. Elle aurait très bien pu ne pas infliger d’amande ou 10£



En même temps, se recevoir une amande sur la gueule, ca peut faire mal si elle est lancée fort…



je fais amende honorable. :-)








RévolutioN a écrit :



Grâce aux Brexit ils n’auront rien à payer car le RPpédé ne s’appliquera pas à eux, leur état redevenant libre et indépendant.





Niveau zéro de la réflexion.

Mais bon venant d’un adepte de Sputnik et des fake news, rien de nouveau sous le soleil.



Sinon, c’est l’ICO qui a mené la procédure et cette agence ne va pas disparaitre avec le Brexit. Tout comme le Brexit ne va pas faire disparaitre toutes les lois locales issues de la transposition du droit européen.



Très excité quand les gars me voient nue sur la photo, j’aime bien envoyer des photoshttp://tindersex.cf/diahando