Morgan Stanley Smith Barney, une multinationale amricaine de services financiers spcialise dans le courtage, a accept de payer une amende de 35 millions de dollars pour rgler les accusations selon lesquelles elle n’a pas protg les informations personnelles d’environ 15 millions de clients, a dclar le 20 septembre la Securities and Exchange Commission (SEC) dans une publication effectue sur son site officiel.
Dans ce que la SEC a dcrit et appel les manquements tendus de Morgan Stanley, il est notamment reproch la multinationale de ne pas stre dbarrass correctement des disques durs et des serveurs, pour protger les informations des clients qui se sont retrouvs en vente sur un site d’enchres en ligne.
La SEC a dclar que la socit avait accept de payer une amende de 35 millions de dollars. La SEC a annonc aujourd’hui des poursuites contre Morgan Stanley Smith Barney LLC (MSSB) en raison des manquements graves de la socit, sur une priode de cinq ans, en matire de protection des informations d’identification personnelle d’environ 15 millions de clients. MSSB a accept de payer une pnalit de 35 millions de dollars pour rgler les accusations de la SEC , peut-on lire sur le site de la SEC.
L’ordonnance de la SEC constate que, depuis 2015, MSSB n’a pas limin correctement les appareils contenant les informations d’identification personnelle de ses clients. plusieurs reprises, MSSB a engag une entreprise de dmnagement et de stockage sans exprience ni expertise dans les services de destruction de donnes pour mettre hors service des milliers de disques durs et de serveurs contenant les informations d’identification personnelle de millions de ses clients. De plus, selon l’ordonnance de la SEC, pendant plusieurs annes, MSSB n’a pas surveill correctement le travail de l’entreprise.
En 2017, plus d’un an aprs la mise hors service du centre de donnes, les responsables de Morgan Stanley ont reu un courriel d’un consultant en informatique de l’Oklahoma, les informant que des disques durs qu’il avait achets sur un site d’enchres en ligne contenaient des donnes de Morgan Stanley.
Dans une plainte, les fonctionnaires de la SEC ont crit : Dans cet e-mail, le consultant a dclar : vous tes une institution financire importante et vous devriez suivre des directives trs strictes sur la faon de traiter le matriel qui se retire. Ou, tout le moins, obtenir une sorte de vrification de la destruction des donnes de la part des fournisseurs qui vous vendez du matriel .
L’enqute du personnel a rvl que l’entreprise de dmnagement a vendu un tiers des milliers de dispositifs de MSSB, notamment des serveurs et des disques durs, dont certains contenaient les informations d’identification personnelle des clients, et qui ont finalement t revendus sur un site de vente aux enchres sur Internet sans que les informations d’identification personnelle ne soient retirs. Si MSSB a rcupr certains de ces appareils, qui contenaient des milliers de donnes clients non chiffres, l’entreprise n’a pas rcupr la grande majorit des appareils.
L’ordonnance de la SEC a donc fait le constat que MSSB n’a pas effectivement protg correctement les informations d’identification personnelle des clients et n’a pas limin correctement les informations lorsqu’elle a mis hors service les serveurs des bureaux locaux et des succursales.
Un exercice de rapprochement des dossiers entrepris par l’entreprise au cours de ce processus de mise hors service a rvl que 42 serveurs, contenant tous potentiellement des informations non cryptes sur les clients et des rapports sur les consommateurs, taient manquants. De plus, au cours de ce processus, MSSB a galement appris que les appareils locaux mis hors service avaient t quips d’une fonction de chiffrement, mais que l’entreprise n’avait pas activ le logiciel de chiffrement pendant des annes.
Les manquements de MSSB dans cette affaire sont tonnants. Les clients confient leurs informations personnelles des professionnels de la finance en sachant et en s’attendant ce qu’elles soient protges, et MSSB n’a pas russi le faire , a dclar Gurbir Grewal, directeur de la Division de l’application de la SEC. Si elles ne sont pas correctement protges, ces informations sensibles peuvent finir dans de mauvaises mains et avoir des consquences dsastreuses pour les investisseurs. L’action d’aujourd’hui envoie un message clair aux institutions financires : elles doivent prendre au srieux leur obligation de sauvegarder ces donnes.
L’action de la SEC indique galement que le chiffrement n’tait pas activ sur de nombreux dispositifs de stockage, bien que cette option existe. Mme aprs que la socit d’investissement a commenc utiliser les options de cryptage en 2018, seules les nouvelles donnes crites sur les disques taient protges. Dans certains cas, les donnes n’taient toujours pas correctement cryptes en raison d’une faille dans le produit d’un fournisseur non identifi.
Sans admettre ou nier ses conclusions, MSSB a consenti l’ordonnance de la SEC constatant que la socit a viol les rgles de sauvegarde et d’limination en vertu de la rglementation et a accept de payer la pnalit susmentionne.
Source : SEC
Et vous ?
Quel est votre avis sur le sujet ?
tant donn que Morgan Stanley a engag un prestataire pour le dmnagement, les poursuites contre Morgan Stanley Smith ne manquent-elles pas un peu d’empathie ?
Voir aussi :