Il va falloir que les entreprises s’y habituent: les carences en matière de sécurité informatique peuvent coûter cher. Hasard du calendrier, alors que le spécialiste du stockage des crypto-actifs Ledger se faisait sanctionner par la Cnil, en Italie, une autre entreprise se faisait également taper sur les doigts par le gardien des données personnelles, le GPDP.
Dans sa newsletter du 22 octobre, cette autorité a signalé avoir infligé sur la base du règlement général sur la protection des données (RGPD) une amende de 900 000 euros à Postel. Cette filiale de La Poste italienne propose des prestations de gestion des documents, d’impression, d’envois numérique de marketing direct.
Une lourde facture justifiée par le régulateur italien par l’inaction de l’entreprise. En août 2023, le gang de rançongiciel Medusa s’était attaqué à l’entreprise, réclamant, selon Wired Italia, une rançon de 500 000 dollars. Le piratage du système d’information de Postel s’était finalement soldé par le vol et la divulgation des données personnelles d’environ 25 000 personnes, des employés, anciens collaborateurs ou partenaires de la société.
🇮🇹 La CNIL italienne condamne un sous-traitant attaqué par un ransomware à 900 000 euros d’amende après la publication des données de 25 000 personnes sur le dark web. Les failles exploitées sur Microsoft Exchange avaient été signalées un an auparavant, mais le correctif pas… pic.twitter.com/dUrFnYbLdb
— Guillaume Champeau (@gchampeau) October 23, 2024
“Erreur humaine”
Une attaque qui aurait pourtant été évitable, souligne en creux le GDPD, en témoigne ces deux vulnérabilités Microsoft Exchange toujours présentes sur le système d’information. Il s’agissait de celles relatives à ProxyNotShell (CVE-2022-41040 et CVE-2022-41082). Elles permettent in fine de pirater des serveurs. Elles avaient été signalées en septembre 2022 par l’éditeur, Microsoft, avec une mise à disposition des mises à jour en deux mois plus tard.
L’agence nationale de cybersécurité italienne avait également signalé la vulnérabilité, évaluée à un niveau grave, dans une alerte publiée le 21 novembre 2023. En vain: Postel n’avait pas le nécessaire pour combler la brèche, malgré “un processus structure d’alerte précoce, de détection et d’émission d’alertes critiques de sécurité”, selon les mots de la société.
”En raison d’une erreur humaine” dans la configuration des activités d’analyse et de correction des systèmes d’information, “le serveur Exchange soumis à l’attaque avait été exclu de l’analyse”, s’est défendue plus précisément l’entreprise. La société avait signalé au régulateur l’exploitation de deux failles par les attaquants, les CVE-2022-41080 et CVE-2022-41082.
Processus de suivi et de contrôle
Une réponse pas suffisante pour le GDPD. L’entreprise aurait dû mettre en place un processus de suivi et de contrôle de l’installation des mises à jour.
Une jurisprudence à méditer en France, à l’heure où l’Anssi s’alarme de l’exploitation de compromissions déjà connues dans des équipements critiques.
En janvier 2023, à l’occasion de la présentation de son panorama de la cybermenace 2022, le cyber-pompier de l’Etat déplorait déjà que la moitié du top 10 des vulnérabilités connues les plus exploitées relevées par l’Anssi en 2022 avaient été corrigées l’année d’avant. Des regrets qui arriveront peut-être un jour aux oreilles de la Cnil.
Crédit photo de Une: Pepi Stojanovski /Unsplash