OCC : la banque d’investissement n’a pas correctement supervisé le démantèlement des équipements du centre de données
Le Bureau du contrôleur de la monnaie (OCC : Office of the Comptroller of the Currency) a infligé une amende de 60 millions de dollars à Morgan Stanley pour avoir manqué à son obligation de superviser correctement le démantèlement de plusieurs centres de données, exposant ainsi les données des clients à un risque d’exposition.
Lorsque Morgan Stanley a mis hors service deux centres de données liés à l’activité de gestion de fortune de la banque en 2016, la société n’a pas supervisé correctement la société tierce chargée de veiller à ce que toutes les données personnelles soient supprimées, selon l’OCC, qui fait partie du département du Trésor américain.
« En ce qui concerne le déclassement, la banque, entre autres, n’a pas évalué ou traité efficacement les risques associés au déclassement de son matériel, n’a pas évalué correctement le risque de recourir à des fournisseurs tiers, y compris des sous-traitants, et n’a pas maintenu un inventaire approprié des données clients stockées sur les appareils », selon un rapport de l’OCC.
L’OCC affirme également que Morgan Stanley a négligé d’exercer une surveillance adéquate lors du retrait de certains dispositifs de réseau, tels que les serveurs informatiques, dans une succursale locale en 2019.
Un porte-parole de Morgan Stanley affirme que la société ne pense pas que les données des clients aient jamais été consultées ou mal utilisées, et la banque continue de surveiller la situation.
« De plus, nous avons mis en place des procédures de sécurité renforcées, y compris une surveillance continue des fraudes, et nous continuerons à renforcer les contrôles que nous avons mis en place pour protéger les informations de nos clients », déclare le porte-parole.
Poursuite judiciaire intentée également
L’amende de l’OCC a été infligée environ un mois après que les avocats représentant les clients de Morgan Stanley aient intenté une action en justice contre la banque, affirmant qu’elle n’avait pas correctement protégé les informations personnelles identifiables lorsque la société s’était débarrassée de son matériel (voir : Morgan Stanley a fait l’objet d’une action en justice de 5 millions de dollars pour violation de données).
Morgan Stanley a confirmé ces incidents dans des lettres de notification de violation de données envoyées au procureur général de Californie et aux procureurs généraux d’autres États en juillet. La lettre note que les données exposées peuvent avoir inclus des noms et des numéros de compte (chez Morgan Stanley et tout compte bancaire lié), le numéro de sécurité sociale, le numéro de passeport, les coordonnées, la date de naissance, la valeur des actifs et les données sur les avoirs. Elle indique qu’elle a offert aux victimes deux ans de services prépayés de surveillance du crédit.
Le procès porte sur les plaintes d’une centaine de clients de Morgan Stanley qui affirment avoir été affectés par les pratiques de la société.
Protection des données
Une des raisons pour lesquelles l’OCC a probablement infligé une amende à Morgan Stanely est que la banque n’a pas évalué correctement les données qu’elle protégeait, explique Mark Rasch, un avocat du cabinet Kohrman, Jackson & Krantz, qui n’est pas impliqué dans l’affaire.
« Les entités qui sont les gardiens des données ne comprennent pas la valeur des données qu’elles protègent. S’il s’agissait d’un coffre-fort bancaire, elles comprendraient », explique M. Rasch à l’Information Security Media Group.
Morgan Stanley n’avait peut-être pas mis en place une liste de contrôle complète pour s’assurer qu’il se débarrassait correctement des ordinateurs mis hors service, explique M. Rasch.
Richard Santalesa, avocat spécialisé dans les technologies et la protection des données au sein du SmartEdgeLaw Group, un cabinet d’avocats spécialisé dans les questions de technologie et de confidentialité, qui possède des bureaux à New York et dans le Connecticut, note que le montant de l’amende reflète probablement le fait que ces incidents similaires se sont produits à trois ans d’intervalle seulement et que l’OCC a voulu faire valoir la nécessité pour les grandes institutions financières de surveiller les informations personnelles, même si elles sont confiées à des tiers.
« Je suis sûr que cette dernière action a fait les beaux jours de tous les CISO et des responsables de la protection de la vie privée de l’écosphère financière », déclare M. Santalesa. Je sais que si j’étais assis dans ce siège C, j’ajouterais immédiatement un point « destruction/suppression de données » à l’ordre du jour de ma prochaine réunion de service ».
Autres actions récentes de l’OCC
L’amende que l’OCC a infligée à Morgan Stanley est la deuxième que l’agence a infligée à une grande intuition financière à la suite d’un cyber-incident.
En août, l’OCC a infligé à Capital One une amende de 80 millions de dollars, en invoquant les nombreuses lacunes en matière de sécurité avant la violation des données de 2019 qui a exposé les informations financières et personnelles de plus de 100 millions de personnes aux États-Unis et au Canada
https://www.bankinfosecurity.com/morgan-stanley-fined-60-million-for-data-protection-mishaps-a-15158
https://www.occ.gov/static/enforcement-actions/ea2020-058.pdf
