L’organisme britannique de surveillance des données a infligé une amende de 4,4 millions de livres sterling au groupe de construction Interserve après une cyberattaque qui a permis à des pirates de voler les informations personnelles et financières de jusqu’à 113 000 employés.
L’attaque s’est produite alors qu’Interserve dirigeait une entreprise d’externalisation et a été désignée comme “fournisseur stratégique du gouvernement avec des clients tels que le ministère de la Défense”. Les coordonnées bancaires, les numéros d’assurance nationale, l’origine ethnique, l’orientation sexuelle et la religion figuraient parmi les informations personnelles compromises.
Le Bureau du commissaire à l’information (ICO) a déclaré qu’Interserve Group avait enfreint la loi sur la protection des données parce que l’entreprise n’avait pas mis en place les mesures appropriées pour empêcher la cyberattaque, qui s’est produite il y a deux ans.
Le système d’Interserve n’a pas réussi à arrêter un e-mail de phishing téléchargé par un employé, tandis qu’une alerte antivirus ultérieure n’a pas fait l’objet d’une enquête appropriée. L’attaque a compromis 283 systèmes et 16 comptes, désinstallé le système antivirus d’Interserve et chiffré toutes les informations des employés actuels et anciens.
L’ICO a déclaré qu’Interserve utilisait des systèmes logiciels et des protocoles obsolètes, manquait de formation adéquate du personnel et d’évaluations des risques insuffisantes.
“Cette violation de données avait le potentiel de causer un préjudice réel au personnel d’Interserve, car elle les rendait vulnérables à la possibilité d’usurpation d’identité et de fraude financière”, a déclaré John Edwards, le commissaire britannique à l’information.
« Laisser la porte ouverte aux cyber-attaquants n’est jamais acceptable, surtout lorsqu’il s’agit des informations les plus sensibles des gens. Les plus grands cyber-risques auxquels les entreprises sont confrontées ne proviennent pas de pirates informatiques extérieurs à leur entreprise, mais de la complaisance au sein de leur entreprise.
L’ICO peut imposer une amende maximale de 17,5 millions de livres sterling ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. Elle peut choisir de réduire le niveau d’une amende si une entreprise peut présenter des arguments atténuants.
L’ICO a déclaré qu’après “un examen attentif” des représentations faites par Interserve, elle avait décidé de ne pas réduire le niveau de l’amende, qui était la quatrième plus importante qu’elle ait jamais infligée.
Commentant le niveau de l’amende, Edwards a déclaré: “L’intention est d’amener les administrateurs et les présidents à s’asseoir et à commencer à poser des questions aux directeurs généraux sur la cyber-préparation.”
Edwards, qui a commencé son mandat de cinq ans en tant que commissaire en janvier, a déclaré que l’ICO avait environ 80 enquêtes actives et en ouvrait environ 500 par an.
Il a déclaré que les attaques de rançongiciels, dans lesquelles les pirates restituent des données à une entreprise si elles sont payées, sont le type de cyberattaque le plus courant auquel l’ICO a été confronté. Il a averti que le paiement d’une rançon ne réduirait pas le niveau d’une amende car cela n’était “pas considéré comme une mesure raisonnable pour protéger les données”, ajoutant : “Nous n’admettrons pas que le paiement d’une rançon pour récupérer des données soit une circonstance atténuante”.
Le mois dernier, le chien de garde a émis à TikTok un “avis d’intention”, un précurseur d’une amende potentielle, qui pourrait atteindre 27 millions de livres sterling pour avoir omis de protéger la vie privée des enfants entre 2018 et 2020.
En janvier, l’ICO et le National Cyber Security Center (NCSC), qui fait partie du GCHQ, ont exhorté les entreprises britanniques à renforcer leur sécurité numérique alors que l’invasion russe de l’Ukraine se profilait.
