Le Bureau du commissaire à l’information du Royaume-Uni (ICO) a infligé une amende de 3,07 millions de livres sterling à Advanced Computer Software Group Ltd pour une attaque de ransomware en 2022 qui a exposé les données personnelles sensibles de 79 404 personnes, y compris des patients du National Health Service (NHS).
La cyberattaque a été annoncée début août 2022 lorsque divers services du NHS, y compris les services d’urgence 111, ont subi d’importantes pannes, indiquant une violation chez le fournisseur britannique de services gérés (MSP) Advanced.
Advanced a fourni au NHS divers produits de gestion des patients et liés à la santé tels que Adastra, Caresys, Carenotes, Odyssey, Crosscare, Staffplan et eFinancials.
La société n’a pas partagé beaucoup de détails sur le groupe de ransomwares qui les avait compromis, mais dans les jours qui ont suivi, il est devenu clair que la récupération prendrait beaucoup de temps, même avec l’aide d’experts de Mandiant et de Microsoft.
Il a été révélé plus tard que le groupe de ransomware LockBit était responsable de l’attaque, exploitant des informations d’identification compromises pour configurer une session RDP (remote desktop protocol) sur un serveur Citrix Staffplan avant de se déplacer latéralement dans l’environnement de l’organisation.
Aujourd’hui, l’OIC a annoncé une lourde amende de 3,07 millions de livres sterling (3,95 millions de dollars) sur Advanced comme pénalité pour avoir omis de protéger les données et les systèmes sensibles contre les pirates.
ICO souligne dans son annonce l’incapacité du fournisseur de logiciels à mettre en œuvre des mesures de sécurité adéquates qui empêcheraient la violation qui a causé l’exposition des données et des pannes de services de santé mettant la vie en danger.
Ces omissions concernent principalement une mauvaise analyse des vulnérabilités, une gestion inadéquate des correctifs et un manque de couverture universelle de l’authentification multifacteur (MFA).
« Les mesures de sécurité de la filiale d’Advanced étaient très en deçà de ce à quoi nous nous attendions d’une organisation traitant un si grand volume d’informations sensibles », a déclaré le commissaire à l’information John Edwards.
« Alors qu’Advanced avait installé une authentification multifacteur sur plusieurs de ses systèmes, l’absence de couverture complète signifiait que les pirates pouvaient y accéder, mettant en danger les informations personnelles sensibles de milliers de personnes. »
Il convient de noter que l’amende infligée à Advanced pour l’incident de ransomware de 2022 est considérablement réduite par rapport au chiffre de 6,09 millions de livres sterling (7,74 millions de dollars) envisagé précédemment par ICO et annoncé en août 2024.
Cependant, cela est important car il s’agit de la première amende au Royaume-Uni infligée à un processeur de données plutôt qu’à un contrôleur de données.
Parmi les cas notables d’amendes ICO passées infligées aux contrôleurs de données, citons l’amende record de 20 millions de livres sterling infligée à British Airways pour une violation de données en 2018 et une amende de 18,4 millions de livres sterling infligée à Marriott pour un incident de sécurité en 2014.