L’Organisme britannique chargé de la protection des données personnelles (ICO) vient de communiquer qu’il allait infliger une amende de 183 millions de livres sterling à British Airways suite à la perte de données dont elle a été victime l’année dernière. Pour vous faire une idée, cette somme est beaucoup plus importante que celle que l’UE a infligé à Facebook dans le cadre de l’affaire Cambridge Analytica. Cet article cherche à comprendre quel est le problème, pourquoi il y a une telle différence entre ces deux amendes et pourquoi il vaut mieux prendre en compte la protection des données en amont.
Fuite de données de British Airways, que s’est-il passé ?
En automne dernier, l’entreprise British Airways a communiqué qu’entre le 21 août et le 5 septembre des malfaiteurs avaient pu accéder aux données des utilisateurs qui avaient acheté ou modifié leurs billets sur le site Internet de la compagnie aérienne ou via l’application mobile. Les intrus ont volé les données de près de 500 000 clients. Les informations compromises concernaient tous les renseignements que l’utilisateur saisit lorsqu’il remplit le formulaire en ligne : nom d’utilisateur et mot de passe, nom et adresse, carte bancaire, code CVC et bien d’autres.
L’enquête a révélé que le groupe de cybercriminels Magecart était à l’origine de cette attaque qui a visé British Airways. Ce groupe est connu pour insérer des scripts malveillants dans les sites Internet d’e-commerce afin d’obtenir les données financières. Cette attaque visant British Airways ne fait pas exception à la règle puisque les cybercriminels ont infecté le site Internet de la compagnie aérienne. Les utilisateurs de l’application mobile ont aussi été touchés puisque l’application utilise certaines fonctions directement depuis le site Internet.
Amende du RGPD
Même si British Airways a signalé l’incident dans les meilleurs délais et a apporté son aide tout au long de l’enquête, l’entreprise doit tout de même payer une amende. Selon les lois du RGPD, une entreprise qui traite les données personnelles de citoyens européens doit faire tout son possible pour garantir la sécurité des données. Le site Internet de l’entreprise, comme l’enquête l’a révélé, n’était pas bien protégé. Après cet incident, la compagnie aérienne a naturellement ajouté de nouvelles mesures de défense mais cela ne réduit en rien sa responsabilité.
Facebook, qui a divulgué les informations de près de 87 millions d’utilisateurs, n’a payé qu’une amende de 500 000 livres sterling en Europe. Conformément à la loi sur la protection des données de 1998, avant le RGPD, l’amende ne pouvait pas être supérieure à ce montant.
Mettez en œuvre des mesures de sécurité et évitez les amendes
L’entreprise British Airways pourrait être condamnée à payer une amende pour le vol de données dont elle a été victime l’an dernier mais cette somme n’est pas gravée dans le marbre. L’ICO va prendre en compte les demandes faites par d’autres autorités européennes chargées de la protection des données et par British Airways. Cette somme est tout de même révélatrice. Le coût engendré par la mise en place de mesures de sécurité adéquates et la prévention d’incidents similaires est largement inférieur. Si vous traitez les données personnelles d’utilisateurs européens, surtout les informations bancaires et de paiement, alors nous vous conseillons d’agir immédiatement et de ne pas attendre pour adopter des méthodes de sécurité fiables.
Les mesures de sécurité préventives sont particulièrement importantes pour les services bancaires en ligne et l’e-commerce puisque vous devez être attentif et protéger vos sites Internet des scripts de skimming en ligne. Notre plateforme Kaspersky Fraud Prevention est équipée d’une solution, Automated Fraud Analytics, qui permet d’analyser les actions sur votre page pendant la session d’un utilisateur. Ce programme peut identifier plusieurs menaces en ligne, y compris l’ajout de scripts malveillants. Vous pouvez obtenir plus de renseignements sur cette solution dans la section Fraud Prevention de notre site Internet.