Le management du digital
Rechercher

RGPD : après la pédagogie, les sanctions ?

RGPD : après la pédagogie, les sanctions ?

Lors de la présentation du panorama de la cybercriminalité 2020, organisé par le Clusif, (Club de la Sécurité de l’Information Français), l’avocate Garance Mathias et Olivier Morel, DGA d’Ilex International, sont revenus sur des sanctions pécuniaires prononcées en 2020 par des autorités de contrôles européennes (Cnil, ICO…) et américaines, à l’encontre d'entreprises victimes de cyberattaques et de fuites de données.

L’analyse de la motivation, du raisonnement des autorités dans le prononcé de sanctions importantes, permet de mieux identifier les manquements des entreprises à leurs obligations de sécurité, et leurs conséquences directes sur la réalisation des cyber-attaques dont leurs clients et prospects sont des victimes collatérales.

En matière de sanctions, la France apparaît en troisième position, avec 12 amendes pour un montant global de 54,4 millions d’euros, derrière l’Italie (69,7 millions d’euros) et l’Allemagne (63 millions), mais devant les anglais (44,2 millions d’euros) et les espagnols (15,5 millions).

Garance Mathias a rappelé que le RGPD impose que le responsable du traitement et ses sous-traitants doivent assurer la sécurité et la confidentialité des données, avec des mesures de sécurité adaptées et proportionnées aux risques, documentées et matérialisées dans les systèmes d’information.

Olivier Morel a rappelé les raisons pour lesquelles les entreprises qui ont fait l’objet d’amendes n’ont pas été à la hauteur. Pour la compagnie aérienne Cathay Pacific (500 000 livres d’amende), qui a exposé les données de 9,4 millions de clients, il a été établi que les sauvegardes des bases de données étaient non chiffrées, que des serveurs non patchés étaient connectés à Internet, et que des systèmes d’exploitation n’étaient plus supportés mais encore opérationnels. De même, la protection antivirus s’avérait insuffisante, des consoles d'administration étaient accessibles au public via Internet, il n’y avait pas d’authentification MFA sur les accès VPN, les logs n’étaient pas conservés, et il a été constaté des privilèges inappropriés sur les comptes utilisateurs… Sans parler de la présence d’un malware sur l’un des serveurs reliés à Internet de la compagnie aérienne pour en capter les données. Ça fait beaucoup et il n’est pas étonnant que la fuite de données ait eu lieu.

Autre compagnie aérienne qui a écopé d’une amende de 20 millions de livres, en octobre 2020 : British Airways. L’entreprise a laissé fuité les données bancaires de 429 000 clients, via son site Web. En cause : un manquement à l’obligation d’assurer la sécurité et la confidentialité des données, une absence de contrôle d’accès aux applications et aux données, d’authentification multi-facteurs pour les accès des employés et des tiers, un défaut d’analyse de risques sur la chaîne logistique et sur l’infrastructure Citrix AG (accès distants), des mots de passe d’administrateur stockés en clair sur certains serveurs, et une absence de gestion d’habilitations ou de gestion de comptes à privilèges. British Airways n‘a pas pu détecter l'attaque, mais a été alerté par un tiers plus de deux mois après sa survenance.

Pour les hôtels Marriott, la sanction s’est élevée à 18,4 millions de livres, en octobre 2020, pour la fuite de données personnelles de 339 millions de clients, dont trente millions de résidents européens. Là encore, les failles ont été évidentes : un suivi insuffisant des comptes à privilèges, un monitoring défaillant des bases de données, et plus précisément celles contenant les données bancaires des clients, un contrôle des accès aux SI critiques qui laisse àd ésirer et une absence de chiffrement des données personnelles, notamment de celles qui figurent sur les passeports des clients.

Autre exemple : Capital One, banque américaine spécialisée dans la vente de crédit à la consommation, immobilier et gestion des cartes de crédit, qui s’est vue infliger une amende 80 millions de dollars après que les données de 106 millions de clients aient été récupérées illégalement. Les manquements reprochés concernent l’inefficacité du système d’évaluation des risques mis en place avant le transfert de ses principaux systèmes informatiques vers le cloud public, ainsi que des failles de sécurité qui ont permis aux pirates de s’introduire et d’exfiltrer les données personnelles des millions de clients  et qui n’ont pas l’objet d’une remédiation rapide. Concrètement, un WAF mal configuré devant l’infrastructure AWS a permis aux pirates d’accéder au service metadata AWS, et de passer des commandes pour accéder aux données. « Finalement l’amende ne représente que 75 cents par personne. Capital One devra également mettre en place un comité de conformité et un plan d'actions détaillant les mesures pour améliorer la sécurité de ses systèmes informatiques », commente Olivier Morel.

Enfin, lors de la conférence du Clusif, il a été rappelé que le Groupe Carrefour a été mis à l’amende pour 2,25 millions d’euros par la Cnil. Motifs des manquements au RGPD, notamment en matière de conservation des données, de modalités d’exercice des droits, de sécurité des données et de notification des violations. Avec des facteurs aggravants liés à la nature, la gravité et la durée de la violation, ainsi que du nombre de personnes concernées.

Pour en savoir plus :

- Vidéo Best Practices : Le RGPD, on s’en fout - https://vimeo.com/251143118

- Vidéo Best Practices : Comment contourner le RGPD - https://vimeo.com/259635004

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

La rédaction

La rédaction

La rédaction de Best Practices fédère les meilleurs experts sur le management des systèmes d’information.

Nos Ouvrages

  • Symposiums Gartner : la synthèse

    Les équipes de Best Practices assistent chaque année au Symposium organisé par le cabinet Gartner qui présente des études, ses analyses et ses opinions sur l’évolution des technologies, du digital et des systèmes d’information.

  • La transformation digitale en 465 questions

    L’un des facteurs clés de réussite de la transformation digitale reste l’accès à la bonne expertise, aux meilleures pratiques et à tout ce qui peut favoriser le benchmark des organisations par rapport au marché, aux usages et aux technologies disponibles.

  • Benchmark Digital&Business - numéro 136

    Ce numéro de Benchmark Digital & Business regroupe l’essentiel des chiffres et des tendances présentés lors du Symposium Gartner 2020, qui s’est déroulé en novembre, à distance. Les quelques 4 000 slides mis à la disposition des participants ont été analysés, afin de trouver les informations et chiffres-clés les plus pertinents.

A ne pas manquer

  • Comment rater...
sa Data Integration

    Pour rater son intégration de données, rien de plus simple. C’est à la portée de toutes les entreprises ! Il suffit de suivre nos treize commandements et d’oublier la gouvernance, la qualité, la sécurité et les enjeux métiers.

  • Comment rater...
sa génération de leads

    Il existe un lien étroit entre le dynamisme commercial d'un éditeur de logiciels ou d'un intégrateur et la qualité des leads dont disposent les commerciaux pour maintenir leur performance. Mais il est très facile de ruiner votre performance commerciale.

  • Services managés : où en sont les entreprises françaises ?

    Best Practices a réalisé une enquête auprès des entreprises et organisations publiques françaises. Avec plusieurs objectifs : cerner les enjeux associés aux systèmes d’information, mesurer les usages des services managés les budgets associés.

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris