Dernières actualités : données personnelles

Décision provisoire d’infliger une amende de 6 millions de livres sterling à un fournisseur de logiciels à la suite d’une attaque par ransomware en 2022 qui a perturbé les services du NHS et des soins sociaux

Nous avons provisoirement décidé d’infliger une amende de 6,09 millions de livres sterling à Advanced Computer Software Group Ltd (Advanced), après avoir constaté que le fournisseur n’avait pas pris les mesures nécessaires pour protéger les informations personnelles de 82 946 personnes, y compris certaines informations personnelles sensibles.

Advanced fournit des services informatiques et des logiciels à des organisations d’envergure nationale, dont le NHS et d’autres prestataires de soins de santé, et traite les informations personnelles des personnes pour le compte de ces organisations en tant que responsable du traitement des données. La décision provisoire d’infliger une amende est liée à un incident de ransomware survenu en août 2022, au cours duquel nous avons provisoirement constaté que des pirates informatiques avaient accédé à un certain nombre de systèmes de santé et de soins d’Advanced via un compte client qui ne disposait pas d’une authentification multifactorielle.

En particulier, nous avons provisoirement constaté que des informations personnelles appartenant à 82 946 personnes ont été exfiltrées à la suite de l’attaque. La cyberattaque a fait l’objet d’une large couverture médiatique au moment de l’incident, avec des rapports faisant état de l’interruption de services essentiels tels que le NHS 111, et d’autres personnels de santé incapables d’accéder aux dossiers des patients. Les données exfiltrées comprenaient des numéros de téléphone et des dossiers médicaux, ainsi que des informations sur la manière d’entrer au domicile de 890 personnes recevant des soins à domicile.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’ICO réprimande la Commission électorale après la compromission de ses serveurs à l’occasion d’une cyberattaque

L’ICO a annoncé ce 30 juillet 2024 avoir adressé un blâme à la Commission électorale après que des pirates ont accédé à des serveurs contenant les informations personnelles d’environ 40 millions de personnes.

En août 2021, des pirates ont réussi à accéder au serveur Microsoft Exchange de la Commission électorale en usurpant l’identité d’un compte utilisateur et en exploitant des vulnérabilités logicielles connues dans le système qui n’avait pas été sécurisé. Jusqu’en octobre 2022, soit plus d’un an plus tard, les pirates ont eu accès aux informations personnelles contenues dans le registre électoral, notamment les noms et les adresses. Les serveurs ont été accédés à plusieurs reprises à l’insu de la Commission électorale.

L’enquête a révélé que la Commission électorale n’avait pas mis en place les mesures de sécurité appropriées pour protéger les informations personnelles qu’elle détenait. En particulier, elle n’a pas veillé à ce que ses serveurs bénéficient des dernières mises à jour de sécurité. Les correctifs de sécurité pour les vulnérabilités exploitées lors de la cyberattaque ont été publiés en avril et mai 2021, plusieurs mois avant l’attaque. La Commission électorale n’avait pas non plus mis en place de politiques suffisantes en matière de mots de passe au moment de l’attaque, de nombreux comptes utilisant encore des mots de passe identiques ou similaires à ceux attribués à l’origine par le service desk.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PSNI risque une amende de 750 000 livres sterling à la suite d’une erreur de tableur qui a exposé les informations personnelles de l’ensemble de son personnel.

L’ICO a annoncé son intention d’infliger une amende de 750 000 livres sterling au Service de police d’Irlande du Nord (PSNI) pour n’avoir pas protégé les informations personnelles de l’ensemble de son personnel.
L’amende proposée est liée à un incident au cours duquel des informations personnelles – y compris le nom de famille, les initiales, le grade et le rôle de l’ensemble des 9 483 officiers et employés du PSNI – ont été incluses dans un onglet « caché » d’une feuille de calcul publiée en ligne en réponse à une demande d’accès à l’information. L’enquête menée par l’ICO a révélé que les procédures internes et les protocoles d’approbation du PSNI pour la divulgation sécurisée d’informations étaient inadéquats.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.