L’amende record de British Airways montre le coût réel du GDPR et l’inefficacité de la cybersécurité FR

Nous venons tout juste de célébrer le premier anniversaire du règlement général de l’Union européenne (UE) sur la protection des données (RDPD) et il semblerait que les régulateurs soient vraiment sérieux et qu’ils soient prêts à punir les organisations comme jamais auparavant.

La compagnie aérienne britannique British Airways (BA), l’une des plus grandes compagnies aériennes du monde, a été condamnée à une amende record de 183 millions de livres sterling (203 millions d’euros) après avoir subi une cyberattaque en septembre 2018. Le Bureau du Commissaire à l’information du Royaume-Uni (ICO) a indiqué qu’il s’agit de la plus lourde amende jamais infligée et de la première à être rendue publique depuis l’avènement du GDPR en 2018.

Comment BA s’est-elle retrouvée confrontée à une amende aussi importante et comment les entreprises peuvent-elles renforcer leur cybersécurité pour tenter d’éviter de telles attaques ?

Une cyberattaque très coûteuse

Cette amende infligée à BA se rapporte à une infraction à la cybersécurité qui a eu lieu entre le 21 août et le 5 septembre 2018. Après avoir découvert l’infraction, BA a informé ses clients que des détails de 380 000 transactions de réservation avaient été volés, y compris les numéros de cartes bancaires, les dates d’expiration et les codes Cvvv.

Il semblerait que l’infraction de BA soit entièrement liée aux données des clients volées dans les formulaires de paiement, si bien que de nombreux experts pensent que c’est l’œuvre du groupe Magecart. Une attaque similaire a récemment été menée contre Ticketmaster UK, qui a été attaquée par des écrémeurs de cartes de crédit sur Internet qui volent des données de cartes de crédit, soit pour que le criminel s’en serve ou pour les vendre à d’autres parties.

Une réaction rapide aux atteintes à la protection des données est une exigence clé du GDPR, mais il semblerait que BA n’ait pas agi assez rapidement pour satisfaire les régulateurs. Elle est aujourd’hui confrontée à la plus lourde amende jamais infligée par le GDPR, dépassant largement les 50 millions d’euros que la CNIL a versés à Google en janvier 2019.

On peut même soutenir que BA s’en est tirée avec une amende moins élevée qu’elle n’aurait pu le faire. 183 millions de livres sterling équivaut à 1,5 % du chiffre d’affaires mondial annuel de BA en 2017, une réglementation de niveau 1 du PIBR. GDPR prévoit des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires global annuel d’une entreprise, qui, dans le cas de BA, s’élèverait à 488 millions de livres sterling (544 millions d’euros), ce qui serait encore plus si la société mère International Airlines Group (IAG) de BA était tenue pour responsable.

BA doit également tenir compte d’autres facteurs. La compagnie aérienne a déjà été menacée d’un recours collectif de 500 millions de livres sterling au Royaume-Uni par le cabinet d’avocats SPG Law. Pire encore, la réputation et la marque de BA en souffriront à long terme – sera-t-elle désormais reconnue à jamais comme une organisation qui ne protège pas les données de ses clients ?

La sécurité des données passe par la conformité et la sécurité numériques

BA n’a pas encore payé l’amende et dispose de 28 jours pour faire appel. Willie Walsh, chef de la direction du GEI, a commenté :

« Nous avons l’intention de prendre toutes les mesures appropriées pour défendre vigoureusement la position de la compagnie aérienne, y compris en faisant appel si nécessaire. »

Même si BA et l’ICO finissent par se contenter d’un chiffre plus petit, le message est clair : si vous ne traitez pas les données de vos clients avec soin et attention, toute organisation peut s’attendre à la sanction la plus sévère si les choses vont mal.

C’est pourquoi il est plus important que jamais pour les organisations d’adopter une approche continue en matière de cybersécurité et de conformité. Peut-être encore plus dans le cas des entreprises de taille moyenne qui n’ont pas les ressources et les budgets des grandes organisations, mais qui ont quand même besoin de la tranquillité d’esprit qu’elles ne seront pas touchées par une amende faramineuse.

La seule façon pour toute organisation de préserver la confidentialité et la sécurité de ses données est de savoir où elle se trouve et qui peut y accéder. C’est exactement ce qu’offre la solution ssGRC d’Oxial. Bien plus efficace que la GRC traditionnelle, Oxial’ssGRC gère tous les risques d’une organisation, y compris la cybersécurité et la conformité, et offre une amélioration et une protection continues.

Si vous voulez éviter une amende importante du GDPR, si vous ne voulez pas être considéré comme une organisation qui ne se soucie pas des données de ses clients ou si vous ne voulez pas subir l’embarras, les coûts et les atteintes à la réputation que peut entraîner une cyberattaque, alors pourquoi ne pas envisager la solution ssGRC de Oxial ?

Pour demander un devis ou organiser une démonstration, veuillez cliquer ici.

Share This!