Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Louis Vuitton, Dior, and Tiffany fined $25 million over data breaches

2 minute de lecture

Mis à jour :

Sanctions pour violations de données chez de grandes marques de luxe

Des amendes totalisant 25 millions de dollars ont été imposées à Louis Vuitton, Christian Dior Couture et Tiffany par la Corée du Sud. Ces sanctions font suite à des failles de sécurité qui ont entraîné l’exposition des données de plus de 5,5 millions de clients. Les trois enseignes, appartenant au groupe LVMH, ont été compromises via des attaques sur leurs services cloud de gestion client.

Points Clés :

  • Trois marques de luxe (Louis Vuitton, Dior, Tiffany), toutes filiales de LVMH, ont été sanctionnées pour des failles de sécurité.
  • Les incidents ont entraîné la compromission de données personnelles de plus de 5,5 millions de clients.
  • Les attaques ont exploité des vulnérabilités dans des services cloud de gestion de la relation client (SaaS).
  • La Commission de protection des informations personnelles (PIPC) de Corée du Sud a prononcé les amendes.

Vulnérabilités Identifiées :

  • Louis Vuitton : Compromission via un logiciel malveillant sur l’appareil d’un employé, menant à l’accès non autorisé à un service SaaS. La protection des données de 3,6 millions de clients a été affectée. Les failles incluaient l’absence de restriction des droits d’accès par adresse IP et de méthodes d’authentification sécurisées pour les accès externes.
  • Dior : L’attaque a eu lieu par hameçonnage sur un employé du service client, lui faisant accorder l’accès au système SaaS. Les données de 1,95 million de clients ont été exposées. Les manquements comprenaient l’absence de listes blanches d’accès, de restrictions sur le téléchargement massif de données, et un défaut d’inspection des journaux d’accès, retardant la détection du piratage de plus de trois mois. De plus, Dior n’a pas respecté le délai de notification de 72 heures à la PIPC après avoir pris connaissance de la fuite.
  • Tiffany : Une attaque par voix-hameçonnage a permis à des pirates d’accéder au système SaaS. Les données de 4 600 clients ont été compromises. Les manquements étaient similaires aux autres cas, notamment l’absence de contrôles d’accès basés sur IP, de restrictions sur le téléchargement massif de données, et le non-respect des délais de notification aux personnes concernées.

Recommandations (Implicites et Explicites) :

  • Mettre en œuvre des contrôles d’accès robustes, incluant des restrictions par adresse IP.
  • Utiliser des méthodes d’authentification fortes, notamment pour les accès externes aux services SaaS.
  • Mettre en place des restrictions sur les opérations sensibles comme le téléchargement de données en masse.
  • Assurer une surveillance et une analyse régulières des journaux d’accès pour une détection rapide des activités suspectes.
  • Respecter strictement les délais légaux de notification des violations de données aux autorités compétentes et aux individus concernés.
  • Les entreprises sont responsables de la sécurisation des données clients, même lorsqu’elles utilisent des solutions SaaS tierces. Cette responsabilité ne peut être déléguée aux fournisseurs de ces services.

Source

Vous pourriez aimer