Deux ans après la cyberattaque dont elle a été victime, British Airways est condamnée à une amende de 20 millions de livres par le gendarme britannique des données personnelles. L’ICO estime en effet que la compagnie aérienne n’a pas mis en oeuvre toutes les solutions à sa disposition pour assurer la protection des données de ses clients.
En septembre 2018, British Airways révélait avoir été, entre juin et septembre, victime d’une importante fuite de données. Les attaquants avaient entre autres dérobé les informations de 380 000 cartes bancaires parmi les données personnelles et financières des 500 000 clients affectés par l’attaque.
L’Information Commissioner Office, équivalent britannique de notre Cnil, annonçait en juillet dernier mener l’enquête, menaçant British Airways d’une amende de plus de 280 millions de livres. L’ICO estimait en effet que, au regard des premiers éléments de l’enquête, la compagnie aérienne avait les moyens de mieux protéger les données de ses clients. Le régulateur arrive aujourd’hui aux mêmes conclusions.
British Airways n’a su ni prévenir, ni détecter
Dans le détail, le gendarme britannique des données personnelles considère que British Airways n’a pas pris les mesures nécessaires à protéger ses données, à savoir “limiter l'accès aux applications, données et outils”, effectuer des tests de pénétration ou encore utiliser l’authentification multifacteur pour protéger les comptes des employés et des tiers.
Sur la détection de l’attaque aussi, la compagnie aérienne a failli. C’est un tiers qui a détecté la cyberattaque, deux mois après que celle-ci ait débuté. “Il n'est pas clair si et quand BA aurait identifié l'attaque elle-même. Cela a été considéré comme un échec grave en raison du nombre de personnes touchées et du fait que le préjudice financier potentiel aurait pu être plus important” écrit l’ICO.
Pour autant, l’ICO s’en sort bien, car l’amende aurait pu être beaucoup plus lourde. Puisque la violation de données a eu lieu en 2018, avant que le Brexit ne soit effectif, l’ICO s’est appuyé sur le RGPD pour condamner l’entreprise. Mais les efforts consentis par British Airways et “l'impact économique du COVID-19 sur leurs activités” ont abaissé la sanction à 20 millions de livres.