Paume faciale : Mercredi, Morgan Stanley a réglé une plainte déposée par la Securities and Exchange Commission (SEC) concernant des failles de sécurité « étonnantes » survenues entre 2016 et 2021. Le géant financier a accepté de payer une amende de 35 millions de dollars pour l’élimination inappropriée des disques durs de l’un de ses centres de données désaffectés.
Selon la SEC plainte, Morgan Stanley a vendu aux enchères environ 1 000 disques durs non cryptés dont le contenu n’avait pas été effacé. Il affirme également que la société s’est débarrassée de manière inappropriée de milliers de disques durs et de supports magnétiques de sauvegarde, exposant les données de plus de 15 millions de clients de Morgan Stanley. Officiels appelé les failles de sécurité « étonnantes ».
« Les échecs de MSSB dans cette affaire sont étonnants. Les clients confient leurs informations personnelles à des professionnels de la finance avec la compréhension et l’attente qu’elles seront protégées, et MSSB n’a malheureusement pas réussi à le faire », a déclaré le directeur de la division de l’application de la loi de la SEC, Gurbir S. Grewal. « Si elles ne sont pas correctement protégées, ces informations sensibles peuvent se retrouver entre de mauvaises mains et avoir des conséquences désastreuses pour les investisseurs. »
Selon la SEC, Morgan Stanley a mis hors service deux centres de données en 2016, entraînant une cascade de failles de sécurité causées par la négligence de l’entreprise.
« Vous êtes une grande institution financière et vous devez suivre des directives très strictes sur la façon de gérer le matériel qui n’est plus disponible. »
Pour commencer, plutôt que de détruire les disques durs ou de les confier à une équipe informatique interne, l’entreprise a fait appel à une société de déménagement tierce pour s’occuper du matériel. Le déménageur a pris possession de 53 matrices RAID composées d’environ 1 000 disques durs et d’environ 8 000 bandes de sauvegarde. L’entreprise anonyme n’aurait aucune expérience dans le démantèlement des supports de stockage.
L’entreprise de déménagement a d’abord sous-traité une entreprise informatique pour nettoyer les disques. Cependant, les deux sociétés se sont disputées et le déménageur a commencé à vendre les périphériques de stockage à une autre entreprise qui s’est retournée et les a mis aux enchères en ligne sans les effacer.
En 2017, près d’un an après le début du projet de démantèlement, un professionnel de l’informatique de l’Oklahoma a envoyé un e-mail à Morgan Stanley et l’a informé qu’il avait des disques durs contenant les données des clients de l’entreprise.
« Vous êtes une grande institution financière et vous devriez suivre des directives très strictes sur la façon de gérer le matériel mis hors service », a écrit le consultant informatique. « Ou, à tout le moins, obtenir une sorte de vérification de la destruction des données auprès des fournisseurs auxquels vous vendez du matériel. »
La société de gestion de fortune a ensuite racheté tous les disques durs que le consultant avait en sa possession.
Au-delà de la négligence de ne pas mettre à zéro les disques et de ne pas garder un œil sur ce que ses sous-traitants en faisaient, la plupart des données des clients n’étaient pas cryptées, même si de nombreux disques durs avaient un support de cryptage intégré. Morgan Stanley n’a commencé à utiliser le cryptage qu’en 2018 et uniquement pour les nouveaux fichiers – les anciennes données n’étaient toujours pas protégées. La SEC affirme que même après 2018, certaines informations n’étaient toujours pas cryptées en raison d’une faille de sécurité dans sa suite de protection des données.
Morgan Stanley a accepté de payer l’amende sans admettre sa culpabilité ou ses actes répréhensibles. La norme commerciale Remarques qu’un porte-parole a déclaré que rien n’indiquait que des clients aient été touchés.
« Nous avons déjà informé les clients concernés de ces problèmes, qui se sont produits il y a plusieurs années, et nous n’avons détecté aucun accès non autorisé ou mauvaise utilisation des informations personnelles des clients », a déclaré le porte-parole.