Une entreprise technologique du NHS condamnée à une amende de 3 millions de livres sterling après une violation de données par un ransomware
Une amende récente de 3 millions de livres sterling infligée à un fournisseur de logiciels du NHS est un avertissement pour les entreprises qui traitent des données sensibles. L’Information Commissioner's Office (ICO) a constaté que l'Advanced Computer Software Group n'avait pas mis en œuvre de mesures de sécurité adéquates, permettant ainsi à des pirates informatiques d'exploiter des vulnérabilités et de compromettre les données à caractère personnel de près de 80 000 personnes. Cet incident souligne la nécessité pour les entreprises de donner la priorité à des stratégies de cybersécurité robustes afin de prévenir des violations similaires.
Le coût des manquements à la sécurité
En août 2022, des pirates informatiques ont infiltré les systèmes d'Advanced via un compte client dépourvu d'authentification multifactorielle (MFA). Les cybercriminels ont ainsi pu accéder aux numéros de téléphone et aux dossiers médicaux des patients, et même à des informations permettant de s'introduire chez les personnes recevant des soins. L'attaque a perturbé des services essentiels du NHS, dont le NHS 111, et a empêché le personnel de santé d'accéder aux informations essentielles des patients.
L'enquête a révélé qu'Advanced avait mis en place l'authentification multifactorielle sur un grand nombre de ses systèmes, mais n'avait pas réussi à assurer une couverture complète. Cette négligence a permis aux pirates informatiques d'accéder au système, démontrant ainsi les risques liés à des mesures de sécurité incomplètes.
Alors que l'ICO avait initialement proposé une amende de 6 millions de livres sterling, la sanction a été réduite de moitié en raison de la coopération d'Advanced avec les forces de l'ordre et les agences de cybersécurité à la suite de l'attaque. Cependant, le mal était déjà fait, des données personnelles sensibles avaient été exposées, la confiance du public était ébranlée et l'entreprise faisait face à de graves conséquences tant sur le plan financier que sur celui de sa réputation.
Principaux points à retenir pour les entreprises
1. Des mesures de sécurité renforcées sont essentielles
L'amende de 3 millions de livres sterling infligée à l'Advanced Computer Software Group nous rappelle que les entreprises doivent mettre en œuvre des mesures de sécurité renforcées pour protéger les données sensibles. Dans le cas de l'attaque par ransomware contre le NHS, l'absence de protocoles de sécurité complets, tels que l'authentification multifactorielle (MFA) sur tous les systèmes, a entraîné une violation qui a exposé les données de 79 404 personnes. Cet incident souligne la nécessité absolue pour les entreprises de s'assurer que leurs systèmes de sécurité couvrent l'ensemble des vulnérabilités, et pas seulement certaines d'entre elles.
2. L'importance de l'authentification multifactorielle (MFA)
La violation s'est produite parce qu'un compte client ne disposait pas de MFA, ce qui a permis aux pirates d'accéder à des données sensibles, notamment les numéros de téléphone des patients, les dossiers médicaux et les renseignements permettant d'accéder au domicile des personnes recevant des soins. Les entreprises doivent donner la priorité à la mise en œuvre de la MFA dans tous les systèmes, en particulier lorsqu'elles traitent des données sensibles, afin de minimiser le risque d'accès non autorisé.
3. Atténuer les risques grâce à une analyse régulière des défauts de sécurité et à une gestion adéquate des patches
Une analyse inadéquate des défauts de sécurité et une gestion inadéquate des patches ont également été identifiées comme des lacunes importantes dans les mesures de sécurité d'Advanced. Pour éviter des risques similaires, les entreprises doivent mettre en place des processus d'analyse réguliers pour détecter et corriger les vulnérabilités et maintenir un système efficace de gestion des patches afin de garantir que tous les logiciels restent à jour et protégés contre les menaces émergentes.
4. Une réponse proactive peut atténuer les sanctions
Malgré de graves failles de sécurité, Advanced a bénéficié d'une réduction de son amende en raison de sa réaction proactive après l'attaque. L'entreprise a travaillé en étroite collaboration avec le National Cyber Security Centre, la National Crime Agency et le NHS pour remédier à la violation et en atténuer l'impact. Cela montre que les entreprises qui prennent des mesures rapides et responsables après une violation des données peuvent s'exposer à des sanctions financières moins lourdes et obtenir de meilleurs résultats à la suite d'un cyberincident.
5. Les failles de sécurité ne sont pas acceptables
L'ICO a souligné qu'« il n'y a aucune excuse pour laisser une partie de votre système vulnérable », en particulier lorsqu'il s'agit de données personnelles sensibles. Les entreprises doivent s'assurer que tous leurs systèmes sont couverts par des mesures de sécurité complètes. Ne pas le faire peut les exposer à des risques importants, tant sur le plan financier que sur celui de leur réputation.
6. Les cyberincidents sont en augmentation dans tous les secteurs
Les cyberincidents étant en augmentation dans tous les secteurs, les entreprises doivent reconnaître le risque croissant d'être ciblées. La mise en place de mesures de sécurité solides à l'échelle de l'entreprise doit être une priorité non négociable pour se prémunir contre d'éventuelles violations.
Comment Gerrish Legal peut vous aider?
Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.
Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.
Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations.
Article de Nathalie Pouderoux, Consultante pour Gerrish Legal