Lors de la présentation du panorama de la cybercriminalité 2020, organisé par le Clusif, (Club de la Sécurité de l’Information Français), l’avocate Garance Mathias et Olivier Morel, DGA d’Ilex International, sont revenus sur des sanctions pécuniaires prononcées en 2020 par des autorités de contrôles européennes (Cnil, ICO…) et américaines, à l’encontre d’entreprises victimes de cyberattaques et de fuites de données.
L’analyse de la motivation, du raisonnement des autorités dans le prononcé de sanctions importantes, permet de mieux identifier les manquements des entreprises à leurs obligations de sécurité, et leurs conséquences directes sur la réalisation des cyber-attaques dont leurs clients et prospects sont des victimes collatérales.
En matière de sanctions, la France apparaît en troisième position, avec 12 amendes pour un montant global de 54,4 millions d’euros, derrière l’Italie (69,7 millions d’euros) et l’Allemagne (63 millions), mais devant les anglais (44,2 millions d’euros) et les espagnols (15,5 millions).
Garance Mathias a rappelé que le RGPD impose que le responsable du traitement et ses sous-traitants doivent assurer la sécurité et la confidentialité des données, avec des mesures de sécurité adaptées et proportionnées aux risques, documentées et matérialisées dans les systèmes d’information.
Olivier Morel a rappelé les raisons pour lesquelles les entreprises qui ont fait l’objet d’amendes n’ont pas été à la hauteur. Pour la compagnie aérienne Cathay Pacific (500 000 livres d’amende), qui a exposé les données de 9,4 millions de clients, il a été établi que les sauvegardes des bases de données étaient non chiffrées, que des serveurs non patchés étaient connectés à Internet, et que des systèmes d’exploitation n’étaient plus supportés mais encore opérationnels.
De même, la protection antivirus s’avérait insuffisante, des consoles d’administration étaient accessibles au public via Internet, il n’y avait pas d’authentification MFA sur les accès VPN, les logs n’étaient pas conservés, et il a été constaté des privilèges inappropriés sur les comptes utilisateurs… Sans parler de la présence d’un malware sur l’un des serveurs reliés à Internet de la compagnie aérienne pour en capter les données. Ça fait beaucoup et il n’est pas étonnant que la fuite de données ait eu lieu.
Autre compagnie aérienne qui a écopé d’une amende de 20 millions de livres, en octobre 2020 : British Airways. L’entreprise a laissé fuité les données bancaires de 429 000 clients, via son site Web. En cause : un manquement à l’obligation d’assurer la sécurité et la confidentialité des données, une absence de contrôle d’accès aux applications et aux données, d’authentification multi-facteurs pour les accès des employés et des tiers, un défaut d’analyse de risques sur la chaîne logistique et sur l’infrastructure Citrix AG (accès distants), des mots de passe d’administrateur stockés en clair sur certains serveurs, et une absence de gestion d’habilitations ou de gestion de comptes à privilèges. British Airways n‘a pas pu détecter l’attaque, mais a été alerté par un tiers plus de deux mois après sa survenance.
Pour les hôtels Marriott, la sanction s’est élevée à 18,4 millions de livres, en octobre 2020, pour la fuite de données personnelles de 339 millions de clients, dont trente millions de résidents européens. Là encore, les failles ont été évidentes : un suivi insuffisant des comptes à privilèges, un monitoring défaillant des bases de données, et plus précisément celles contenant les données bancaires des clients, un contrôle des accès aux SI critiques qui laisse àd ésirer et une absence de chiffrement des données personnelles, notamment de celles qui figurent sur les passeports des clients.
Autre exemple : Capital One, banque américaine spécialisée dans la vente de crédit à la consommation, immobilier et gestion des cartes de crédit, qui s’est vue infliger une amende 80 millions de dollars après que les données de 106 millions de clients aient été récupérées illégalement.
Les manquements reprochés concernent l’inefficacité du système d’évaluation des risques mis en place avant le transfert de ses principaux systèmes informatiques vers le cloud public, ainsi que des failles de sécurité qui ont permis aux pirates de s’introduire et d’exfiltrer les données personnelles des millions de clients et qui n’ont pas l’objet d’une remédiation rapide. Concrètement, un WAF mal configuré devant l’infrastructure AWS a permis aux pirates d’accéder au service metadata AWS, et de passer des commandes pour accéder aux données. « Finalement l’amende ne représente que 75 cents par personne. Capital One devra également mettre en place un comité de conformité et un plan d’actions détaillant les mesures pour améliorer la sécurité de ses systèmes informatiques », commente Olivier Morel.
Enfin, lors de la conférence du Clusif, il a été rappelé que le Groupe Carrefour a été mis à l’amende pour 2,25 millions d’euros par la Cnil. Motifs des manquements au RGPD, notamment en matière de conservation des données, de modalités d’exercice des droits, de sécurité des données et de notification des violations. Avec des facteurs aggravants liés à la nature, la gravité et la durée de la violation, ainsi que du nombre de personnes concernées.