La SEC a infligé une amende de 35 millions de dollars à Morgan Stanley Smith Barney pour avoir omis de protéger les informations personnelles des clients
Morgan Stanley Smith Barney (MSSB), devenu Morgan Stanley Wealth Management, une société de gestion de fortune américaine, vient d’accepter de payer 35 millions de dollars. Ce faisant, l’entreprise veut régler les allégations selon lesquelles elle n’a pas correctement éliminé les disques durs et les serveurs avec les données personnelles de ses clients. Sur une période de cinq ans commençant en 2015, environ 15 millions de dossiers clients auraient été compromis à la suite de la violation de données. Le New York Times, entre autres, en a parlé.
La Securities and Exchange Commission (SEC) des États-Unis a infligé une amende de 35 millions de dollars à MSSB, une coentreprise entre les grandes banques Morgan Stanley et Citigroup. Dans un communiqué de presse, ils ont déclaré que l’entreprise avait omis de protéger les données personnelles de ses clients dans une large mesure. MSSB a retiré les serveurs des bureaux locaux et des succursales dans le cadre d’un vaste programme de mise à niveau du matériel. Cependant, selon la SEC, l’entreprise a embauché une entreprise de déménagement et d’entreposage à ces occasions « Sans expérience ni expertise dans les services de destruction de données » avec le démantèlement de milliers de disques durs et de serveurs qui contenaient les données personnelles de millions de ses clients. Par la suite, l’entreprise n’a pas surveillé correctement le travail du déménageur.
Des déménageurs mettent aux enchères des serveurs et des disques durs Morgan Stanley
Les enquêtes de la SEC ont révélé que le déménageur avait vendu des milliers de serveurs et de disques durs. Certains d’entre eux se sont finalement retrouvés sur un site d’enchères sur Internet sans que les informations sur la personne ne soient supprimées. Tel que rapporté par Ars Technika, ladite entreprise de déménagement a reçu « 53 matrices RAID contenant environ 1 000 disques durs combinés et ont également supprimé environ 8 000 bandes de sauvegarde de l’un des centres de données de Morgan Stanley. »
En conséquence, l’entreprise de déménagement a d’abord mandaté un spécialiste en informatique. Cela devrait effacer ou détruire toutes les données sensibles stockées sur les disques. Après la fin de cette collaboration, cependant, le déménageur a commencé à vendre les périphériques de stockage à une autre société, qui à son tour les a vendus aux enchères. La nouvelle société n’a jamais vérifié Morgan Stanley ni ne l’a approuvée en tant qu’entrepreneur ou sous-traitant pour le projet de démantèlement.
Selon les informations d’Ars Technika, Morgan Stanley aurait été informé de l’incident dans un email en 2017. L’acheteur, un consultant informatique de l’Oklahoma, a souligné que les disques durs qu’il avait achetés sur un site d’enchères en ligne contenaient des données de Morgan Stanley. Dans l’e-mail, le consultant informatique a souligné :
« Vous êtes une grande institution financière et vous devez suivre des directives très strictes pour la gestion du matériel mis au rebut. Ou au moins, obtenez une sorte de confirmation de la destruction des données par les fournisseurs auxquels vous vendez des appareils.
MSSB a répondu et a finalement racheté les disques durs appartenant au consultant informatique.
De plus, la SEC déclare que « un rapprochement des données effectué par l’entreprise lors de ce processus de démantèlement a révélé qu’il manquait 42 serveurs ». Ceux-ci contenaient
« toutes les données personnelles éventuellement non cryptées des clients et des rapports des consommateurs. De plus, au cours de ce processus, MSSB a également appris que les appareils sur site mis hors service étaient équipés de capacités de cryptage, mais l’entreprise n’avait pas activé le logiciel de cryptage depuis des années.
Litanie de bugs « incroyables »
Gurbir S. Grewal, directeur de la Division de l’application de la loi de la SEC, a souligné que les erreurs qui s’étaient produites pendant cinq ans étaient « étonnant ». Grewal ajoute :
« Les clients confient leurs informations personnelles à des professionnels de la finance avec la compréhension et l’attente qu’elles seront protégées, et MSSB a lamentablement échoué. Si cette exigence n’est pas respectée, les données sensibles peuvent tomber entre de mauvaises mains et avoir des conséquences catastrophiques pour les investisseurs.
Selon la SEC, MSSB a accepté de payer l’amende et de régler l’affaire sans admettre ni nier les allégations. Suite à l’annonce de la SEC, Morgan Stanley a publié une déclaration indiquant qu’elle était heureuse d’avoir réglé l’affaire.
« Nous avons déjà informé les clients concernés de ces problèmes, qui sont survenus il y a plusieurs années, et n’avons identifié aucun accès non autorisé ou mauvaise utilisation des informations personnelles des clients. »
