Crédit : Dreamstime
Chaque entité doit disposer d’un programme d’élimination des actifs informatiques (ITAD) dans le cadre de son processus et de sa procédure de sécurité de l’information.
En effet, chaque fois qu’un actif informatique est acheté, la cession éventuelle de cet actif doit déjà être définie dans un ITAD. Lorsqu’il n’en existe pas, les données sont exposées, des compromis se produisent et, dans de nombreux cas, des amendes sont infligées.
Ce fut le cas de Morgan Stanley Smith Barney (MSSB), qui continue de ressentir les répercussions de l’échec de son ITAD au cours des dernières années, qui a maintenant entraîné US155 millions de dollars d’amendes et de pénalités.
Le 20 septembre 2022, la Securities and Exchange Commission (SEC) a atteint un accord de règlement dans lequel MSSB a payé une amende de 35 millions de dollars pour l’élimination inappropriée d’appareils contenant des informations d’identification personnelle (PII) du client MSSB.
En octobre 2020, une ordonnance de consentement a été émis par l’Office of the Comptroller of Currency dans lequel MSSB a accepté de payer une amende de 60 millions de dollars. Cela a été suivi en janvier 2022 par le règlement d’un action collective dans laquelle MSSB a accepté de payer un montant égal aux victimes de l’échec de l’ITAD et de l’exposition des données qui en a résulté.
Conséquences d’un programme ITAD déficient
Dans l’un des cas documentés, la MSSB a fait l’équivalent d’une commande hors menu dans un restaurant ; elle avait une entreprise de déménagement, Triple Crown, dont les compétences avaient été identifiées par la MSSB dans sa propre évaluation des risques en 2013 comme « le transport local par camion, l’entreposage , et déménagement longue distance.”
Dans le dossier judiciaire de 2021, MSSB s’est renvoyé la responsabilité et a décrit une chaîne en guirlande d’entrepreneurs et de sous-traitants qui ont causé l’exposition des données. MSSB a blâmé Triple Crown pour son incapacité à retirer, nettoyer et recycler les appareils en toute sécurité.
Malgré un accord selon lequel Triple Crown devait obtenir le consentement de MSSB avant d’engager un sous-traitant, la banque a affirmé que Triple Crown avait vendu les appareils à AnythingIT, indiquant à MSSB que les appareils avaient été détruits. AnythingIT n’a pas non plus réussi à détruire les appareils et a continué la guirlande de les revendre à KruseCom.
Lorsque la cession d’actifs devient une tromperie d’actifs
Discutant de l’échec de MSSB ITAD, Kyle Marks, expert de la chaîne de contrôle ITAD et PDG de Retire-IT, a observé que « la façon dont Morgan Stanley a géré ITAD n’est pas inhabituelle. Se faire prendre est. L’ITAD a un problème avec les incitations. Tout le monde est incité à cacher les problèmes de disposition des actifs informatiques. ITAD est la dernière étape du très long parcours du cycle de vie des actifs informatiques. »
Marks a souligné l’importance d’un programme ITAD solide dans le cadre de l’achat et du cycle de vie d’un appareil : « Les écarts d’inventaire commencent le jour où le nouveau matériel est déployé. Les écarts s’aggravent à chaque étape », a-t-il déclaré.
« Au lieu de suivre les actifs et de signaler les pertes lorsqu’elles se produisent, les entreprises attendent que les actifs soient retirés. Trop souvent, la gestion des actifs informatiques utilise ITAD pour balayer les problèmes sous le tapis. Les recycleurs électroniques sont des complices volontaires – les vendeurs sont heureux d’obtenir le vieux matériel. Ils n’ont aucune incitation à parler. Sans contrôles adéquats, ITAD est une « tromperie d’actifs informatiques ». »
Gurbir S. Grewal de la SEC, directeur de la division de l’application de la loi de la SEC, a commenté dans une déclaration publique : « Les échecs de MSSB dans cette affaire sont étonnants. Les clients confient leurs informations personnelles à des professionnels de la finance avec la compréhension et l’attente qu’elles seront protégées, et MSSB n’a malheureusement pas réussi à le faire.
« Si elles ne sont pas correctement protégées, ces informations sensibles peuvent se retrouver entre de mauvaises mains et avoir des conséquences désastreuses pour les investisseurs. L’action d’aujourd’hui envoie un message clair aux institutions financières qu’elles doivent prendre au sérieux leur obligation de protéger ces données. »
Le point à retenir pour les RSSI
Il est impératif que les responsables de la sécurité informatique se souviennent qu’un Le programme ITAD est la sécurité des données 101. Il est également important de suivre ce programme. C’est un must-have, pas un nice-to-have. C’est là qu’il est clair que MSSB a échoué, faute de contrôles et contrepoids adéquats pour vérifier que ce qu’ils pensaient qu’il allait se passer lors de l’élimination de l’équipement informatique, s’est produit comme prévu.
Comme pour la plupart des débâcles, le nettoyage coûte plus que la mise en place compétente du programme Dans le cas de MSSB, non seulement ils ont eu des années de frais juridiques, mais ils ont également payé 155 millions de dollars d’amendes.
Ils auraient pu grandement bénéficier du proverbe russe : « Faites confiance, mais vérifiez. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
