Groupe Interserve Limitée
Date de l'amende:
19/10/2022
Structure ou entité mise en cause :
Groupe Interserve Limitée
Quelle est la base légale ?
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
Détail des faits
L'autorité britannique de protection des données (DPA) a infligé une amende de 5 033 000 euros au groupe de construction Interserve Group Limited. Le responsable du traitement avait notifié à l'autorité de protection des données une violation de données conformément à l'article 33 du RGPD. Interserve avait subi une cyberattaque au cours de laquelle les attaquants avaient envoyé un e-mail de phishing à la boîte aux lettres de l'équipe comptable d'Interserve. L'e-mail avait été ouvert par un employé qui avait également téléchargé et ouvert un fichier zip joint. Cela a permis aux attaquants d'installer des logiciels malveillants et de siphonner les données personnelles de 113 000 employés. Les données siphonnées contenaient entre autres des informations sur les comptes bancaires, les numéros de sécurité sociale, l'origine ethnique, l'orientation sexuelle et la religion des personnes concernées. L'enquête de l'autorité de protection des données a révélé que des mesures de sécurité inadéquates avaient permis à l'attaque de se produire. Les employés d'Interserve, par exemple, n'avaient pas été suffisamment formés à la confidentialité des données. En outre, Interserve traitait les données personnelles sur des systèmes d'exploitation non pris en charge qui n'étaient plus soumis à des mises à jour de sécurité pour remédier aux vulnérabilités du système. De plus, Interserve n'avait pas effectué d'analyses de vulnérabilité adéquates. Finalement, l’équipe de sécurité informatique d’Interserve n’avait pas suffisamment enquêté sur l’attaque, car le logiciel antivirus signalait que le logiciel malveillant avait été supprimé.
Télécharger le document officiel de la décision