Un détaillant britannique condamné à une amende record pour mauvaise hygiène numérique

 
Les entreprises qui ne se protègent pas en ligne n’ont plus à craindre uniquement les méchants qui se cachent dans les recoins d’Internet. Elles doivent également se soucier des gentils.
 
Le Royaume-Uni est l’un des pays qui mène campagne pour forcer les entreprises à se protéger et à protéger leurs clients, en donnant des amendes à gauche et à droite aux entités qui gèrent mal les données des utilisateurs ou mettent leurs clients en danger de vol d’identité et de fraude. Dernier exemple en date, l’ICO (Information Commissioner’s Office, bureau de régulation chargé du Data Protection Act de 1998 et des Privacy and Electronic Communications Regulations de 2003 au Royaume-Uni) a infligé une amende de 500 000 £ au groupe de détaillants d’électronique grand public DSG Retail Limited pour une cyberattaque touchant au moins 14 millions de clients.
 
Selon l’annonce de l’ICO la semaine dernière, un cybercriminel aurait installé des logiciels malveillants sur 5 390 caisses dans les magasins Currys PC World et Dixons Travel entre juillet 2017 et avril 2018. L’attaquant a collecté des données personnelles pendant neuf mois avant la détection de l’attaque.
 

“L’échec de la société à sécuriser le système a permis un accès non autorisé à 5,6 millions de carte de paiement utilisées dans les achats et aux informations personnelles d’environ 14 millions de personnes, y compris les noms complets, codes postaux, adresses e-mail et vérifications de crédit des serveurs internes”, a déclaré l’ICO dans son communiqué de presse.

 
Le piratage était possible car DSG n’avait pas corrigé les bugs connus, n’utilisait pas de pare-feu, manquait de séparation du réseau et n’avait pas effectué de contrôles de routine. Ces mauvaises pratiques de cybersécurité ont conduit DSG à enfreindre la loi sur la protection des données de 1998, en vertu de laquelle l’ICO peut infliger la pénalité maximale de 500 000 livres, ce qu’elle a fait.
 
L’ICO a souligné que Carphone Warehouse, également détenue par DSG, avait été condamnée à une amende de 400 000 £ en janvier 2018 pour des infractions similaires.
 

“Notre enquête a révélé des défaillances systémiques dans la façon dont DSG Retail Limited protégeait les données personnelles”, a déclaré Steve Eckersley, directeur des enquêtes de l’ICO. “Il est très préoccupant que ces échecs soient liés à des mesures de sécurité basiques et courantes, montrant un mépris total pour les clients dont les informations personnelles ont été volées. Les infractions dans ce cas étaient si graves que nous avons imposé la pénalité maximum en vertu de la législation précédente, mais l’amende aurait inévitablement été beaucoup plus élevée en vertu du RGPD.”

 
L’ICO ne peut pas infliger d’amende à DSG en vertu du nouveau règlement, car la violation s’est produite avant l’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données) en mai 2018.
 
L’ICO affirme que la violation affecte considérablement la vie privée des individus, laissant les clients vulnérables au vol financier et à la fraude d’identité. Le bureau affirme avoir reçu 158 plaintes entre juin 2018 et novembre 2018 de la part de clients DSG. DSG elle-même a admis qu’environ 3 300 clients les avaient contactés directement en relation avec cette violation de données.
 

“Une telle négligence est susceptible d’avoir causé du désarroi chez de nombreuses personnes après que la violation de données les a exposées à un risque accru de fraude”, a ajouté M. Eckersley. “Nous reconnaissons que les cyberattaques sont de plus en plus fréquentes, mais les organisations sont tenues par la loi de prendre des mesures de sécurité sérieuses pour protéger les systèmes et, surtout, les données personnelles des personnes.”

 
L’ICO redirige les parties concernées vers l’avis de sanction financière pour obtenir les détails de son enquête.