Ransomware & RGPD : amende de 900 000 euros pour une filiale de la poste italienne

15 août 2023. Dans la torpeur estivale, le groupe Medusa revendique une cyberattaque contre Postel SpA. Deux jours plus tard, l’incident de cybersécurité impliquant un rançongiciel sera signifié à l’homologue italien de la CNIL, le GPDP. La notification finale lui sera transmise le 4 octobre 2023. 

Entre-temps, Medusa aura distribué, le 28 août, quelque 66 Go de données compressées attribuées à Postel SpA. Ce dernier est une filiale de la poste italienne, Poste Italiane, spécialisée dans les services de communication et de gestion documentaire aux entreprises. Les données personnelles d’environ 25 000 personnes ont été compromises dans l’attaque. Le 4 juillet dernier, le GPDP a infligé à Postel SpA une amende de 900 000 euros. 

Le 13 octobre 2023, le GPDP demande à Postel des informations complémentaires. Elles portent notamment sur le mode opératoire des cybercriminels. Le 23 octobre, la réponse arrive : ils ont exploité deux vulnérabilités déjà anciennes à l’époque (les CVE-2022-41080 et CVE-2022-41082). Les observateurs attentifs reconnaîtront là ProxyNotShell, connue notamment pour avoir été utilisée lors de cyberattaques aux couleurs de l’enseigne de ransomware Play.

Et le GPDP ne manque pas de le relever. Dans ses conclusions, l’autorité fustige l’absence d’application des correctifs disponibles alors même que les vulnérabilités étaient connues et documentées, et que l’agence italienne de cybersécurité avait alerté à leur sujet en novembre 2022. Pour elle, « cette conduite est également en contradiction avec les principes de protection des données dès la conception et ceux de la protection des données par défaut énoncés à l’article 25 » du RGPD.

La décision du GPDP ne se limite pas à l’amende administrative. L’autorité enjoint également à Postel d’« effectuer une vérification des vulnérabilités dans ses systèmes et les résoudre rapidement », ou encore « mettre en place une procédure formalisée de gestion des vulnérabilités », et également d’établir ses délais moyens de détection de vulnérabilités et ceux de réponse à celles-ci.

Le GPDP reproche également à Postel de ne pas avoir fourni, avant que cela ne soit demandé, toutes les informations nécessaires à l’identification de toutes les caractéristiques de l’incident ayant conduit à la violation de données.