La compagnie aérienne britannique British Airways (BA) fait face à une amende record de 229 millions de dollars après avoir subi une cyberattaque en septembre dernier. Le bureau du commissaire à l’information du Royaume-Uni (ICO) a déclaré qu’il s’agissait de la sanction la plus lourde jamais infligée et qu’elle est la première à être rendue publique à la suite de la mise en œuvre de la mise à jour du règlement de la protection des données RGPD au niveau européen.
Une cyberattaque sanctionnée par les nouvelles lois RGPD
Depuis son entrée en vigueur en mai 2018, la RGPD stipule que les entreprises doivent signaler toute violation de leurs données dans les 72 heures. Alors qu’en septembre dernier, lorsque British Airways a été victime d’une cyberattaque, la compagnie aérienne n’a mis qu’une journée pour informer ses clients que près de 380 000 transactions de réservation avaient été volées, notamment des numéros de carte bancaire, leurs dates d’expiration et des codes CVV.
Il n’a pas fallu longtemps pour découvrir que ces informations avaient été capturées via un script malveillant conçu pour dérober des informations financières en parcourant la page de paiement de BA avant son envoi.
Cette attaque, qui aurait été menée par le même groupe qui a ciblé Ticketmaster et Magecart, permettait aux pirates de voir les coordonnées des personnes telles qu’elles sont rentrées sur la page.
Auparavant, la plus grande amende infligée par l’ICO s’élevait à 500 000 £, toutefois, dans le cadre de la loi RGPD, les entreprises peuvent recevoir une amende allant jusqu’à 4 % du chiffre d’affaires. Dans le cas de BA, l’amende maximale serait de 500 millions de livres sterling.
Est-ce que BA va faire appel de l’amende RGPD ?
British Airways dispose de 28 jours pour faire appel à l’amende, et en tenant compte du montant de celle-ci, il semble que oui et le directeur général de la compagnie l’a confirmé « Nous avons l’intention de prendre toutes les mesures appropriées pour défendre vigoureusement la position de la compagnie aérienne, notamment en lançant les appels nécessaires », a-t-il déclaré.
Le président et chef de la direction de British Airways, Alex Cruz, a défendu la réaction de la compagnie à la cyberattaque « … British Airways a réagi rapidement à un acte criminel visant à voler les données des clients. Nous n’avons trouvé aucune preuve de fraude ou d’activité frauduleuse sur des comptes liés au vol. «
L’impact de l’amende
C’est une « amende extraordinairement énorme » qui montre le coût réel du RGPD, déclare Ian Thornton-Trump, responsable de la sécurité chez AMTrust Europe.
Cela pourrait ouvrir le chemin pour des futures amendes RGPD. Quel que soit le résultat de l’appel, il est clair que le régulateur souhaite envoyer un message fort et que business ne veut pas dire atteinte à la confidentialité des données, quelle que soit la taille de l’entreprise.
Ian Thornton-Trump dit que les investisseurs et les dirigeants « vont paniquer », cependant, il souligne que la compagnie aérienne va améliorer la sécurité et l’a même déjà fait dans une certaine mesure, il pense qu’investir dans BA en tant que stratégie sur le long terme est une excellente idée, car ils sont sur le point de prendre la sécurité des clients plus au sérieux que jamais.
Un appel à la vigilance
Parallèlement, l’importante amende montre à quel point les entreprises doivent investir dans leurs infrastructures informatiques, « il s’agit d’un énorme rappel à la loi pour les propriétaires des sites Web qui collectent des données personnelles et par carte de crédit », a déclaré Ian Thornton-Trump.
« Ce que les entreprises doivent réaliser, c’est le manque d’investissement dans leurs plates-formes technologiques destinées aux clients. La complexité et les retards techniques ont maintenant un impact négatif sur les résultats nets. »
Il a rajouté que les dirigeants devaient en prendre note : » Si vous n’investissez pas dans la sécurité, vous risquez de perdre des dizaines de millions de dollars pour votre entreprise. »
British Airways, comme beaucoup de compagnies aériennes internationales, a beaucoup de « biens immobiliers technologiques » à gérer, explique Nicola Whiting, responsable de la stratégie à Titani, il rajoute que l’amende imposée par l’ICO obligera les organisations et les entreprises à examiner de plus près les risques liés aux données lors de l’évaluation des gains potentiels en termes de ventes, de marketing ou de service à la clientèle.
