Recevez chaque jour toute l'actualité du numérique

x

La banque Capital One condamnée à verser 80 millions de dollars après une fuite de données clients

Vu ailleurs Le régulateur américain des banques condamne Capital One à payer une amende de 80 millions de dollars en raison de son rôle dans une faille de sécurité qui a exposé les données personnelles de 106 millions de clients en 2019.
Twitter Facebook Linkedin Flipboard Email
×

La banque Capital One condamnée à verser 80 millions de dollars après une fuite de données clients
La banque Capital One condamnée à verser 80 millions de dollars après une fuite de données clients © Wikimedia - Billy Hathorn

La banque américaine Capital One est condamnée par l'Office of the Comptroller of the Currency (OCC), un organisme faisant partie du Trésor américain, à payer 80 millions de dollars de pénalité suite à une faille de sécurité survenue en 2019. Elle a conduit à la diffusion sur Internet de données personnelles concernant plus de 106 millions de ses clients.

Capital One a mis du temps à réagir
La faille de sécurité est survenue entre mars et avril 2019, relate The Verge, mais il semblerait que Capital One ait seulement pris connaissance du problème dans le courant du mois de juillet, lorsqu'elle a été prévenue que des données personnelles étaient accessibles sur GitHub. Ces données avaient été collectées lors de la migration de systèmes informatiques de Capital One vers le cloud.

Les enquêteurs sont parvenus à remonter jusqu'à Paige Thompson, une ancienne employée d'AWS, qui a été inculpée pour fraude électronique et fraude informatique, poursuit le site. Paige Thompson aurait exploité une vulnérabilité du système pour extraire des informations sur des clients de Capital One et les diffuser sur des forums. La femme a plaidé non coupable, et son procès est attendu pour l'année prochaine.

Mauvaise évaluation des risques lors de la migration des systèmes IT
L'OCC explique prendre cette décision au regard de "l'incapacité de la banque à mettre en place des processus d'évaluation des risques efficaces avant de migrer d'importantes opérations technologiques dans un environnement de cloud public". L'incapacité de la banque à corriger les problèmes dans un temps opportun justifie aussi la décision de l'office.

Un porte-parole de Capital One assure de son côté, dans un mail envoyé à The Verge, que les contrôles mis en place par l'entreprise avant l'incident de l'année dernière "nous ont permis de sécuriser les données avant que les informations sur un client puissent être utilisées ou diffusées et ont aidé les autorités à rapidement arrêter le hacker".

Au-delà de la sanction pécuniaire, l'OCC a déjà demandé à Capital One de mettre en place un comité de conformité d'ici à la fin du mois d'août. Ce comité devra se réunir tous les trimestres à partir d'octobre et fournir des mises à jour régulières. La banque doit établir un plan d'action détaillant les mesures qu'elle va prendre pour améliorer la sécurité de ses systèmes.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.