Suite à une cyberattaque provoquant une importante fuite de données, le groupe Talk Talk a écopé d’une amende record.
L’ICO (Information Commissioner’s Office), l’organe de protection des données personnelles britannique, reproche au groupe Talk Talk d’avoir ignoré un risque sérieux, connu et techniquement évitable de cyberattaque, causant le piratage de 156 959 comptes dont 15 656 numéros de comptes bancaires.
Une base de données vulnérable
Lors de l’acquisition des activités britanniques de la société Tiscali, le groupe Talk Talk a également fait l’acquisition de pages internet vulnérables donnant accès à une base de données plus que fournie en données personnelles puisqu’elle contenait les noms, adresses, dates de naissance, numéros de téléphone, adresses méls et informations bancaires et financières de nombreux clients.
Le groupe Talk Talk a été victime d’une série de cyberattaques commises entre le 15 et le 21 octobre 2015, utilisant manifestement des failles de sécurité de son système d’informations qui se sont traduites par la fuite de ses données, découverte à cause du ralentissement de son système informatique.
Une cyberattaque connue et techniquement évitable
La cyberattaque a été réalisée à l’aide d’une « injection SQL » qui consiste à modifier une requête SQL (Structured Query Langue ou en français langage de requête structurée) afin de se connecter à n’importe quel compte d’une base de données sans pour autant connaître le mot de passe et, par ce biais, d’en exfiltrer les données.
Or, comme le précise l’ICO, non seulement ce type de cyberattaque est très répandu mais, également, il existe des protections efficaces et connues permettant d’éviter ou de réduire le risque de contamination.
Dès lors, ayant échoué à « prendre des mesures techniques et organisationnelles appropriées » pour assurer une protection effective contre les traitements non autorisés ou illicites de données personnelles, le groupe Talk Talk a violé le 7e principe de protection des données personnelles prévu dans le Data Protection Act de 1998 et, par conséquent, a été condamné à régler une amende record de 400 000 euros.
Les raisons d’une amende élevée
L’importance de cette sanction s’explique notamment par le caractère sérieux de l’attaque, notamment du fait de l’ampleur de l’extraction de la base de données, de la nature des données, et de ses potentielles conséquences pour les clients.
De plus, cette décision est un avertissement vis-à-vis des entreprises qui ne prennent pas suffisamment au sérieux les risques de cyberattaques pouvant mener à la fuite de données personnelles de clients alors que, non seulement le risque est réel mais également, il existe des techniques efficaces pour y remédier ou prévenir ce risque.
Des risques réels pour les entreprises effectuant des traitements de données en France
En France, l’article 34 de la loi Informatique et Libertés impose que les entreprises prennent toutes précautions utiles visant à préserver la sécurité des données personnelles sous peine d’être pénalement sanctionnées.
En outre, dans le cas d’une violation de la sécurité de données faisant l’objet d’un traitement, les fournisseurs de services de communications électroniques ont, en vertu de l’article 34 bis de la loi Informatique et Libertés, l’obligation de prévenir sans délai la Cnil ainsi que les clients, en cas de risque d’atteinte à la vie privée.
Le principe de protection des données par défaut (« security by default ») instauré par le règlement (UE) 2016/679 sur la protection des données personnelles, vient renforcer cette obligation de veiller à la sécurité et à la confidentialité des données personnelles, tout en étendant cette obligation à tous les acteurs économiques, quel que soit leur secteur d’activité. Il implique, en conséquence, que les responsables de traitement mettent en place, dès la conception et l’élaboration du produit ou du service, des mesures techniques et organisationnelles appropriées relatives à la protection des données personnelles.