L’ICO annonce son intention d’infliger une lourde amende à British Airways, victime l’an dernier d’un vol de données, notamment bancaires. Les manquements de la compagnie aérienne à la sécurité des informations de ses passagers risquent de lui coûter cher : 183 millions de livres, réglementation européenne aidant.
En septembre dernier, British Airways informait le public après avoir été victime d’une importante fuite de données. Entre le 21 août et le 5 septembre, des attaquants ont dérobé les « données personnelles et financières des clients effectuant des réservations sur ba.com et l'application de la compagnie aérienne » expliquait alors la compagnie aérienne.
On apprenait ainsi que 380 000 cartes bancaires avaient été compromises, sur un total de 500 000 clients victimes de l’attaque. L’Information Commissioner’s Office a enquêté sur le sujet et a determiné que l’incident avait probablement débuté dès juin. « Cet incident impliquait en partie le fait que le trafic des utilisateurs sur le site Web de British Airways était redirigé vers un site frauduleux. A travers ce faux site, les données des clients ont été collectées par les attaquants » écrit l’ICO.
Sanction à la sauce RGPD
En cause, « de mauvaises dispositions de sécurité » selon le régulateur, qui signale qu’ont été compromis authentifiants, carte de paiement, réservation de voyage, nom et adresse. La compagnie aérienne britannique risque donc de se voir infliger une amende de 183,39 millions de livres, une sanction décidée an fonction du barême fixé par le RGPD.
Néanmoins, il ne s’agit que d’une intention et British Airways a encore l’occasion de se défendre. « British Airways a coopéré à l'enquête de l’ICO et a amélioré ses dispositions en matière de sécurité depuis la révélation de ces événements. La société aura désormais l’occasion de faire des déclarations à l’ICO sur les conclusions et sanctions proposées ».