La veille du Nouvel An, le prestataire de services de change Travelex a été victime d’une attaque dévastatrice par ransomware qui, quelques semaines plus tard, est loin d’être résolue. Il ne fait cependant aucun doute que les répercussions se feront sentir pendant de nombreux mois et qu’elles pourraient entraîner des coûts élevés pour l’entreprise, ainsi qu’une atteinte à sa réputation et d’éventuelles mesures réglementaires.
Travelex a été touché par Sodinokibi, un virus logiciel qui cible les systèmes Windows et crypte les fichiers. Selon certaines informations, une rançon d’environ 4,6 millions de livres sterling a été demandée, mais Travelex n’a pas indiqué si elle l’avait effectivement payée. Les criminels ont déclaré qu’ils divulgueraient 5 Go de données clients, dont des numéros de sécurité sociale, des dates de naissance et des informations sur les paiements par carte. Le paiement de la rançon entraînerait apparemment la suppression de la base de données vulnérable et le rétablissement du réseau de l’entreprise.
Qu’est-ce qui n’a pas fonctionné ?
Les détails ne sont pas encore connus, mais il semblerait que les serveurs du réseau privé virtuel de l’entreprise, qui permettaient au personnel d’accéder à distance aux ordinateurs centraux, n’aient pas été corrigés, ce qui les a rendus plus vulnérables. Certains experts en sécurité ont déclaré que l’entreprise aurait dû prendre des mesures il y a plusieurs mois pour éviter une telle attaque. Les conséquences
L’entreprise est présente dans près de 70 pays, possède plus de 1 200 succursales et quelque 1 000 distributeurs automatiques de billets dans le monde entier, et l’attaque a contraint Travelex à fermer son site web mondial. Bien qu’elle ait pu poursuivre ses activités dans une certaine mesure, le personnel a dû recourir au papier et au crayon pour effectuer les transactions dans les succursales pendant que les activités étaient hors ligne. La police a été informée le 2 janvier et la Metropolitan Police mène l’enquête. Toutefois, l’Information Commissioner’s Office (ICO) a déclaré à ce jour qu’il n’avait pas été informé de l’existence d’une violation potentielle. Travelex a déclaré qu’elle ne pensait pas qu’il y ait eu violation de ses données et c’est peut-être la raison pour laquelle elle n’a pas informé l’ICO. Néanmoins, en vertu du règlement général sur la protection des données (RGPD), il est obligatoire de signaler toute violation de données dans les 72 heures. En cas de non-respect de cette obligation, l’entreprise pourrait se voir infliger une lourde amende, la sanction maximale étant de 20 millions d’euros ou de 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). Il semblerait qu’en coulisses, l’ICO examinera de près ce qui s’est passé et la Financial Conduct Authority a également déclaré qu’elle était en contact avec l’entreprise pour veiller à ce que les clients soient traités équitablement. Effets d’entraînement
Malgré cela, Travelex a clairement pris des mesures pour rectifier la situation, expliquant qu’elle a fait appel à des équipes d’experts en cybersécurité pour résoudre les problèmes informatiques. L’affaire montre également à quel point une telle attaque peut nuire aux relations commerciales avec des tiers ainsi qu’à la confiance des consommateurs. Travelex fournissait des services à de grandes banques telles que Lloyds, Barclays et Royal Bank of Scotland, Tesco Bank, Sainsbury’s Bank, Virgin Money et First Direct, qui ont également été affectées par l’interruption temporaire des services de change en ligne. Le directeur général, Tony D’Souza, a présenté ses excuses aux clients et l’entreprise a offert aux personnes concernées des conseils pour obtenir des remboursements, ainsi que d’autres informations par l’intermédiaire des bureaux d’assistance mondiaux et des médias sociaux. Malgré cela, certains se sont plaints que les mesures prises n’étaient pas suffisantes, des médias ayant rapporté que des clients n’avaient pas reçu les devises qu’ils avaient commandées en ligne. D’autres commentaires ont également été formulés sur le fait que Travelex n’avait pas été assez rapide pour expliquer ce qui s’était passé, les messages sur son site n’étant pas transparents, indiquant qu’il était en panne pour une « maintenance planifiée » plutôt que d’admettre la cyber-attaque. L’entreprise aurait fait appel à la société internationale d’affaires publiques Brunswick pour l’aider à gérer la crise de communication en cours. Toute panne informatique peut s’avérer coûteuse pour une entreprise, et il s’agit certainement d’une panne de grande ampleur. Bien que Travelex ait souscrit une assurance de cybersécurité, il est peu probable qu’elle couvre tous les frais encourus. Bien que la société mère de Travelex, Finablr, basée à Abu Dhabi, ait minimisé l’impact financier, le cours de l’action a chuté et certains investisseurs ont vendu leurs titres.
La première grande cyberattaque de 2020 ne montre que trop clairement comment des entreprises comme Travelex peuvent faire les gros titres pour de mauvaises raisons.