Deux ans aprĂšs la cyberattaque dont elle a Ă©tĂ© victime, British Airways est condamnĂ©e Ă une amende de 20 millions de livres par le gendarme britannique des donnĂ©es personnelles. LâICO estime en effet que la compagnie aĂ©rienne nâa pas mis en oeuvre toutes les solutions Ă sa disposition pour assurer la protection des donnĂ©es de ses clients.
En septembre 2018, British Airways rĂ©vĂ©lait avoir Ă©tĂ©, entre juin et septembre, victime dâune importante fuite de donnĂ©es. Les attaquants avaient entre autres dĂ©robĂ© les informations de 380 000 cartes bancaires parmi les donnĂ©es personnelles et financiĂšres des 500 000 clients affectĂ©s par lâattaque.
LâInformation Commissioner Office, Ă©quivalent britannique de notre Cnil, annonçait en juillet dernier mener lâenquĂȘte, menaçant British Airways dâune amende de plus de 280 millions de livres. LâICO estimait en effet que, au regard des premiers Ă©lĂ©ments de lâenquĂȘte, la compagnie aĂ©rienne avait les moyens de mieux protĂ©ger les donnĂ©es de ses clients. Le rĂ©gulateur arrive aujourdâhui aux mĂȘmes conclusions.
British Airways nâa su ni prĂ©venir, ni dĂ©tecter
Dans le dĂ©tail, le gendarme britannique des donnĂ©es personnelles considĂšre que British Airways nâa pas pris les mesures nĂ©cessaires Ă protĂ©ger ses donnĂ©es, Ă savoir âlimiter l'accĂšs aux applications, donnĂ©es et outilsâ, effectuer des tests de pĂ©nĂ©tration ou encore utiliser lâauthentification multifacteur pour protĂ©ger les comptes des employĂ©s et des tiers.
Sur la dĂ©tection de lâattaque aussi, la compagnie aĂ©rienne a failli. Câest un tiers qui a dĂ©tectĂ© la cyberattaque, deux mois aprĂšs que celle-ci ait dĂ©butĂ©. âIl n'est pas clair si et quand BA aurait identifiĂ© l'attaque elle-mĂȘme. Cela a Ă©tĂ© considĂ©rĂ© comme un Ă©chec grave en raison du nombre de personnes touchĂ©es et du fait que le prĂ©judice financier potentiel aurait pu ĂȘtre plus importantâ Ă©crit lâICO.
Pour autant, lâICO sâen sort bien, car lâamende aurait pu ĂȘtre beaucoup plus lourde. Puisque la violation de donnĂ©es a eu lieu en 2018, avant que le Brexit ne soit effectif, lâICO sâest appuyĂ© sur le RGPD pour condamner lâentreprise. Mais les efforts consentis par British Airways et âl'impact Ă©conomique du COVID-19 sur leurs activitĂ©sâ ont abaissĂ© la sanction Ă 20 millions de livres.