Piratage : Sony récolte une amende de 250 000 £ au Royaume-Uni
En Grande-Bretagne, Sony s’est vu adresser une amende de 250 000 £ pour ne pas avoir sécurisé les données de ses clients au réseau PlayStation, piraté l’année dernière. Une entité indépendante britannique estime que Sony n’a pas tout fait pour préserver sa base.
L’Information Commissioner’s Office (ICO), en charge notamment de la question de la protection des données personnelles en Grande-Bretagne, a infligé une amende de 250 000 £ à Sony Computer Entertainment Europe pour avoir enfreint la loi Data Protection Act (DPA) au Royaume-Uni. Cette sanction pour atteinte à la protection des données est liée au piratage de la plate-forme et du réseau Sony PlayStation en avril 2011 qui avait compromis les informations personnels de millions d’utilisateurs. Les noms, les adresses, les emails, les dates de naissance ainsi que les mots de passe avaient été exposées. Tout comme les données bancaires, liées notamment aux paiements qu’effectuent les utilisateurs sur la plate-forme. Une enquête de l’ICO a déterminé que l’attaque aurait pu être empêchée si l’application avait été mise à jour. Des développements techniques ont également révélé que les mots de passe n’étaient pas sécurisés. « Quand vous êtes responsable d’une telle quantité de données liées au paiement par carte et de données d’utilisateurs, préserver la sécurité de ces données personnelles doit être la priorité », explique David Smith, commissaire adjoint et directeur de la protection des données. « Cela n’était tout simplement pas le cas et lorsque la base de données a été prise pour cible, les mesures de sécurité en place n’étaient tout simplement pas suffisantes », a-t-il ajouté. Sony aurait du le savoir, car il s’agit d’une société qui dispose d'une forte expertise technique, poursuit-il en substance. « Selon moi, il n’y a aucun doute qu’ils avaient à la fois la connaissance technique et les ressources nécessaires pour garantir la sécurité de ces informations ». Smith indique que la sanction est due au fait que ce dossier était l’un des plus sérieux rapportés à l’ICO. Il concernait directement un grand nombre de consommateurs, les exposant à d’éventuels vols d’identité. « Il est certes nécessaire que les entreprises coordonnent leurs efforts, mais nous devons tous prêter attention à qui nous communiquons nos informations personnelles », ajoute-t-il.
Sony avait pris des mesures A la suite de ce piratage, Sony a reconstruit sa plate-forme afin de s’assurer que les données personnelles qu’il doit traiter sont maintenues en sécurité. Sony a également nommé Philip Reitinger au poste de senior vice-président et CSO. Celui-ci, qui a occupé des postes chez Microsoft et au sein des ministères de la sureté du territoire, de la Défense et de la Justice, est responsable de la sécurité des services et de l’information chez Sony. A l’époque, Sony avait affirmé que Reitinger aurait également la charge de la gestion de la vie privée ainsi que de la sécurité sur Internet dans l’ensemble du groupe, qu’il coordonnerait étroitement les groupes clés en interne et collaborerait avec les communautés liées à la sécurité de l’information pour apporter à Sony les bonnes méthodes et les bonnes idées. Terry Greer-King, directeur opérationnel de Checkpoint, affirme que cette faille met en avant le fait que les entreprises doivent considérer avec le plus grand sérieux la protection des données de leurs clients et prendre des mesures pour empêcher que ces données ne soient accessibles. « En 2012, nous avons interrogé 550 cadres dirigeants et responsables informatiques en Grande-Bretagne. Ils nous ont affirmé avoir en moyenne rapporté 68 tentatives d’attaques par semaine. La fraude financière ainsi que le vol de données clients étant les premières motivations », lance-t-il. « Cela montre l’ampleur du problème et l’importance d’implémenter des mesures préventives pour protéger les données critiques. »
Traduit de l’anglais par la rédaction