En juillet 2019, la banque américaine Capital One a été victime d’une importante fuite de données. 1 an après cet incident, le Bureau de contrôle de la monnaie (OCC) vient de condamner la banque à payer 10 millions de dollars d’amendes.
Vol de données de 106 millions de clients
Parmi les 106 millions des clients de la firme, 100 millions sont Américains et les 6 restants des Canadiens. Capital One est le cinquième émetteur de cartes bancaires en Amérique du Nord. Dans un communiqué, la firme a fait savoir qu’un individu a réussi à s’introduire dans les systèmes et s’est emparé de certaines informations personnelles. Selon Capital One, ces données appartenaient aux personnes « ayant fait une demande pour des produits liés aux cartes de crédit ou souhaitant obtenir la carte bancaire Capital One ». « Ni les numéros de compte de carte bancaire ni les informations pour se connecter à des comptes bancaires n’ont été volés. Et plus de 99 %, des numéros de sécurité sociale n’ont pas été compromis ». Elle a tenu à rassurer les esprits et a déclaré qu’aucune information sensible à savoir les numéros de compte, les numéros de sécurités sociales ou d’autres informations qui auraient permis de se connecter aux comptes bancaires n’a été dérobée. Les informations obtenues illégalement par le hacker comprenaient les noms et les coordonnées des consommateurs. Les enquêteurs sont parvenus à remonter la piste menant à une femme de 33 ans nommée Paige Thompson. Cette dernière a profité de la migration des systèmes informatiques de la banque vers un Cloud pour obtenir les renseignements sur les clients.
Capital One accusé de ne pas avoir réagi plut tôt
L’amende écopée par Capital One semble être massive. N’oublions pas que cela représente 75 cents par personne. Certes, ce dédommagement parait léger compte tenu de la négligence de la banque. Après l’incident, elle a fait un geste louable en offrant un service gratuit de surveillance ainsi qu’une protection contre le vol d’identité aux personnes touchées. La firme a par ailleurs fait savoir qu’elle renforçait sa politique de cybersécurité pour éviter d’éventuelle attaque, mais aussi pour rassurer ses clients. Cette décision émanait de la Réserve Fédérale américaine (FED) et de l’OCC qui ont accusé la firme de ne pas avoir réagi plus tôt. La Réserve Fédérale Américaine a en effet publié un communiqué demandant à la banque « d’améliorer son programme de gestion des risques ainsi que la gouvernance et les contrôles qui y sont associés, en particulier en ce qui concerne la cybersécurité et la sécurité de l’information. » Selon la FED, c’est à cause de la négligence de Capital One que ces fuites de données massives ont eu lieu. On reproche à la firme de ne pas avoir anticipé les menaces. En effet, toujours d’après la FED, la société aurait pu éviter cette situation si elle avait mis en place une méthode d’évaluation des risques performante lors du transfert des systèmes.