09 73 64 49 32 contact@cybervigilance.fr

En 2018 la compagnie aérienne British Airways a été victime de deux vols de consécutifs de données bancaires.

Un vol de données personnelles.

En septembre 2018, British Airways déclare être victime d’une cyberattaque massive mettant en péril les données personnelles de leur voyageur et notamment leurs coordonnées bancaires.
De plus, la compagnie aérienne a par la suite admis qu’un piratage similaire avait eu lieu entre avril et juillet 2018, et n’avait pas été détecté.

Au total les hackers ont dérobé les données financières de 420 000 voyageurs British Airways. Les pirates ont tout simplement profité d’une faille informatique qui leur a permis d’envoyer les visiteurs du site internet de British Airways sur un site frauduleux identique.
Cela leur a permis de récolter de nombreuses données personnelles telles que :

  • Nom
  • Prénom
  • Adresse
  • Email
  • Données bancaires

La compagnie aérienne a par la suite annoncé que l’ensemble des victimes de ce vol de données personnelles seraient indemnisées.

Une amende élevée.

L’Information Commissioner’s Office (ICO), l’organisme britannique chargé de la protection des données personnelles, a mené son enquête et a choisi de potentiellement sanctionner British Airways.

En effet, l’ICO estime que ce vol de données personnelles est dû à de « mauvais système de sécurité dans l’entreprise ».
Elizabeth Denham, commissaire de l’ICO s’est exprimé sur le sujet : « Les données personnelles des gens doivent le rester. […] Lorsqu’on vous confie des données personnelles vous devez les protéger. Ceux qui ne le feront pas seront poursuivis par l’ICO pour vérifier qu’ils ont pris les mesures adéquates ».
Toutefois, si cette amende se confirme, elle s’élèvera à 1,5% du chiffre d’affaire annuel de l’entreprise, soit environ 204 000 d’euros.

Alex Cruz, CEO de British Airways, a déclaré : « Nous sommes surpris et déçus des conclusions initiales de l’ICO. […] British Airways a répondu rapidement à l’acte criminel du vol des données de ses clients. Nous n’avons trouvé aucune preuve d’activité frauduleuse sur les comptes touchés par ce vol.»
Si cette sanction se confirme, elle appuiera l’importance du respect du RGPD par l’ensemble des sociétés.