Le fournisseur de services du NHS, Advanced, a été condamné à payer une amende de plus de 3 millions de livres sterling pour ne pas avoir mis en place des mesures de sécurité de base avant une attaque par ransomware en 2022. Cette décision a été confirmée par le régulateur britannique de la protection des données.
Une amende réduite mais significative
Initialement, l’Office of the Information Commissioner (ICO) avait envisagé une amende de plus de 6 millions de livres en août 2024. Cependant, le montant a finalement été réduit de moitié, selon l’annonce faite mercredi par l’ICO.
Des failles de sécurité critiquées
L’ICO a souligné qu’Advanced avait enfreint la loi sur la protection des données en ne déployant pas complètement l’authentification multifacteur avant la violation. Cette négligence a permis aux pirates d’accéder au système avec des identifiants volés et de dérober les informations personnelles de dizaines de milliers de personnes au Royaume-Uni.
Impact sur le NHS
L’attaque par ransomware LockBit contre Advanced a provoqué des perturbations généralisées au sein du NHS, affectant notamment les systèmes de données patients que Advanced gère pour le compte du service de santé national.
Réaction de Advanced
Dans un communiqué, Advanced a confirmé avoir réglé le différend. La société a toutefois refusé de nommer un porte-parole lorsqu’elle a été interrogée à ce sujet.
