Outre-Manche, une amende de 3,6 millions d’euros infligée à une victime de LockBit

L’Information Commissioner’s Office (ICO) du Royaume-Uni, homologue britannique de la CNIL française, vient d’infliger une amende de 3,07 millions de livres sterling (environ 3,6 millions d’euros) à Advanced Computer Software Group – désormais connu sous le nom de OneAdvanced – pour des manquements en matière de cybersécurité. Manquements qui ont exacerbé l’impact d’une attaque conduite avec le rançongiciel LockBit contre l’organisation.

La cyberattaque, qui s’est produite en août 2022, a fortement perturbé les services fournis par les clients d’Advanced, notamment le service de santé publique britannique, le NHS, et d’autres prestataires de soins de santé, qui ont perdu l’accès à sa plateforme de gestion clinique des patients Adastra.

L’un des organismes qui dépendaient d’Adastra à l’époque était le service d’urgences 111. D’autres parties du service de santé étaient concernées, notamment la répartition des ambulances, les prescriptions d’urgence, les services aux patients en-dehors des heures ouvrables et les références.

L’ICO a déclaré que l’attaque, qui a commencé par un compte client pour lequel l’authentification à facteurs multiples (MFA) n’était pas activée, a permis de voler les données de 79 404 personnes. Parmi ces données se trouvaient des détails sur la manière d’accéder aux propriétés de 890 personnes qui recevaient des soins à domicile.

L’autorité de régulation a conclu que la filiale d’Advanced spécialisée dans la santé et les soins n’avait pas mis en place les mesures techniques et organisationnelles appropriées pour garantir la sécurité de ses systèmes informatiques, mettant en évidence des lacunes non seulement dans les contrôles d’authentification, mais aussi dans le suivi des vulnérabilités et la gestion des correctifs.

« Les mesures de sécurité de la filiale d’Advanced étaient loin d’être à la hauteur de ce que nous attendons d’une organisation traitant un volume aussi important d’informations sensibles. »

« Bien qu’Advanced ait déployé la MFA sur un grand nombre de ses systèmes, l’absence de couverture complète a permis à des pirates d’y accéder [...]. »

Bien qu’Advanced ait déployé l’authentification à facteurs multiples sur un grand nombre de ses systèmes, l’absence de couverture complète a permis à des pirates d’y accéder, mettant ainsi en danger les informations personnelles sensibles de milliers de personnes », a ainsi déclaré le commissaire à l’information, John Edwards.

« Personne ne devrait jamais avoir à se demander si son dossier médical est entre de bonnes mains. Pour utiliser les services en toute confiance, tout le monde doit pouvoir être sûr que chaque organisation entrant en contact avec ses informations personnelles – qu’il s’agisse de les utiliser, de les partager ou de les stocker pour le compte d’autrui – respecte ses obligations légales en matière de protection », a ajouté John Edwards.

Et d’insister : « alors que les cyberincidents se multiplient dans tous les secteurs, ma décision d’aujourd’hui est un rappel brutal que les organisations risquent de devenir la prochaine cible si elles ne mettent pas en place des mesures de sécurité robustes. Je demande instamment à toutes les organisations de veiller à ce que chaque connexion externe soit sécurisée par MFA dès aujourd’hui, afin de protéger le public et ses informations personnelles – il n’y a aucune excuse pour laisser une partie de votre système vulnérable ».

« Ma décision d’aujourd’hui est un rappel brutal que les organisations risquent de devenir la prochaine cible si elles ne mettent pas en place des mesures de sécurité robustes. »

L’amende – qui représente environ la moitié du montant initialement proposé – constitue une première pour l’ICO, qui n’avait jamais imposé une telle sanction à un sous-traitant en vertu de la législation britannique sur la protection des données.

Cette réduction significative est le résultat d’un certain nombre de facteurs, notamment les déclarations faites par Advanced sur les progrès réalisés et l’engagement proactif de l’organisation tout au long de l’incident, qui comprenait une coopération totale avec le Centre national de cybersécurité britannique (NCSC), l’Agence nationale de lutte contre la criminalité (NCA) et le NHS.

L’ICO et Advanced sont maintenant parvenus à un règlement volontaire, par lequel Advanced reconnaît la décision de réduire l’amende et paiera un règlement final sans appel.

John Edwards juge ce règlement bienvenu et estime qu’il apporte une certitude réglementaire sans qu’il soit nécessaire d’engager des frais et des délais supplémentaires liés à un recours.

L’ICO a averti les autres entreprises qu’elles devaient prendre des mesures plus proactives pour évaluer et atténuer les facteurs de risque bien connus qui permettent aux gangs de ransomware de conduire leurs activités criminelles avec facilité. Il s’agit notamment de mettre en œuvre la MFA par défaut et sans exception, et de redoubler d’efforts pour évaluer les vulnérabilités et les corriger plus rapidement.

Un porte-parole d’Advanced a quant à lui déclaré que « ce qui s’est passé il y a plus de deux ans et demi est tout à fait regrettable. Les acteurs malveillants étant de plus en plus sophistiqués, il incombe à toutes les entreprises de veiller à ce que leur dispositif de cybersécurité soit continuellement renforcé. La cybersécurité reste un investissement primordial pour notre entreprise, et nous avons beaucoup appris en tant qu’organisation depuis cette attaque ».

En outre, indique-t-il, « nous avons signalé l’incident à l’ICO en août 2022 et nous sommes heureux de voir cette affaire conclue. Nous restons déterminés à aider nos clients à naviguer dans un paysage technologique en évolution rapide, en veillant à ce qu’ils atteignent leurs objectifs de croissance stratégique et d’efficacité opérationnelle »..