La Autorité de conduite financière (FCA) du Royaume-Uni a récemment imposé une fin de 11 millions de livres (11.164.400 XNUMX XNUMX pour être exact) paragence de surveillance du crédit Equifax pour avoir négligé la gestion et le contrôle de la sécurité des données des consommateurs britanniques qu'elle avait sous-traitées à sa société mère basée aux États-Unis.
Une affaire qui soulève d’importantes questions sur la sécurité des données et souligne l’importance de la cybersécurité à l’ère numérique.
Le cas Equifax
En 2017 entre mai et juillet, Equifax Inc, la société mère d'Equifax, était victime de l'une des plus grandes violations de la cybersécurité dans l'histoire, lorsque certains hackers (probablement chinois) ont réussi à accéder aux données personnelles de 147,9 millions d'Américains, 15,2 millions de citoyens britanniques et environ 19.000 XNUMX citoyens canadiens. Le vol de données des consommateurs britanniques était possible parce qu'Equifax avait données externalisées vers des serveurs d'Equifax Inc aux États-Unis pour traitement.
L'Attaque de pirate informatique c'est arrivé parce qu'Equifax nn'avait pas encore mis à jour votre site de litige de crédit avec le nouvelle version de Struts, un cadre de sécurité. Des pirates ont ensuite exploité cette vulnérabilité pour accéder aux serveurs internes de l'entreprise.
Attaque prévisible
Selon la FCA, la cyberattaque et l'accès non autorisé aux données aurait pu être évité parce qu'ils étaient "entièrement évitable», mais Equifax ne considérait pas la relation avec la société mère comme une sous-traitance. Par conséquent, il manquait, donc, une supervision adéquate sur la gestion et la protection des données transmises.
"Le sociétés financières ils détiennent des données clients très attractives pour les criminels – a-t-il commenté Thérèse Chambres, directeur exécutif conjoint de l'application de la loi et de la surveillance du marché à la FCA – Ils ont le devoir d'assurer leur sécurité et Equifax n'a pas réussi à le faire. Ils ont aggravé cet échec par la façon dont ils ont mal géré leur réponse à la violation de données.
L'importance de la cybersécurité
Le cas en question soulève une fois de plus l'importance desécurité numérique précise. Rien ne doit être laissé au hasard si l'on peut y accéder via le réseau.
L'importance de la cybersécurité ne peut pas être assez souligné, surtout dans un secteur comme la finance.
Les sociétés financières détiennent de nombreuses données sensibles sur leurs clients, telles que des informations personnelles, financières et bancaires, et leur perte ou leur compromission peut avoir des conséquences désastreuses pour les individus et les entreprises concernés.
Equifax a commis l'erreur de ne pas traiter sa relation avec sa société mère comme une « externalisation », ce qui a conduit à un manque de surveillance sur la façon dont les données étaient gérées et protégées. Les entreprises doivent être conscientes des relations avec les tiers et s'assurer qu'ils partagent les mêmes normes de sécurité.
L'entreprise a également reçu critiques pour le retard de la divulgation les détails de la violation et la façon dont il a géré les conséquences de l’attaque. Immédiatement après la violation de données, Equifax a proposé un site Web permettant aux consommateurs de savoir s'ils avaient été victimes de la violation. Mais le site a été critiqué pour ressembler à un site de phishing et demander des informations sensibles. Une démonstration dul'importance non seulement de la prévention, mais aussi du préparation pour remédier aux violations potentielles. Les entreprises doivent mettre en place des plans et des procédures de réponse aux violations pour minimiser les dommages en cas de cyberattaque.
La la cybersécurité ne concerne pas seulement la protection des données, mais aussi la surveillance par des tiers, la préparation aux violations et la réponse appropriée. Ignorer ces aspects peut entraîner des conséquences financières coûteuses et nuire à la réputation de votre entreprise. La sécurité des données doit donc être une priorité absolue.
