Un panneau de téléphone Optus est suspendu au-dessus de son magasin à Sydney, en Australie, le jeudi 7 octobre 2021. Le mercredi 28 septembre 2022, les gouvernements fédéral et des États australiens ont demandé à Optus de payer pour le remplacement des documents d'identification, y compris les passeports et les permis de conduire, pour éviter l'usurpation d'identité après que 9,8 millions de clients de la société de télécommunications se soient fait voler des données personnelles par des pirates informatiques. Crédit :AP Photo/Mark Baker, Fichier
L'Australie pourrait mettre en place de nouvelles lois strictes sur la protection des données cette année en réponse urgente à une cyberattaque qui a volé à une entreprise de télécommunications les données personnelles de 9,8 millions de clients, a déclaré jeudi le procureur général.
Le procureur général Mark Dreyfus a déclaré que le gouvernement apporterait des "réformes urgentes" à la loi sur la protection des renseignements personnels à la suite du piratage sans précédent de la semaine dernière sur Optus, le deuxième opérateur de téléphonie mobile d'Australie.
Dreyfus a déclaré "Je pense qu'il est possible" que la loi soit modifiée dans les quatre semaines restantes pendant lesquelles le Parlement doit siéger cette année.
"Je vais regarder très attentivement au cours des quatre prochaines semaines si nous pouvons ou non faire adopter des réformes de la loi sur la protection des renseignements personnels au Parlement avant la fin de l'année", a déclaré Dreyfus aux journalistes. Le Parlement siègera ensuite le 25 octobre.
Dreyfus a déclaré que les sanctions pour non-protection des données personnelles devaient être augmentées afin que les conseils d'administration des entreprises ne puissent pas considérer les amendes comme un "coût des affaires".
Les "quantités absolument énormes" de données clients détenues par les sociétés pendant des années devraient être justifiées en vertu de la loi modifiée, a déclaré Dreyfus.
"Les entreprises doivent considérer le stockage des données non pas comme un atout, mais comme un passif ou un passif potentiel", a déclaré Dreyfus. "Pendant trop longtemps, les entreprises ont uniquement considéré les données comme un atout qu'elles peuvent utiliser commercialement."
Le gouvernement accuse la cybersécurité laxiste d'Optus, une filiale de Singapore Telecommunications Ltd., également connue sous le nom de Singtel, d'avoir volé les informations personnelles de ses clients actuels et anciens.
Singtel a présenté ses excuses dans un communiqué publié mercredi par sa direction disant :"Nous sommes profondément désolés pour toutes les personnes touchées par le vol de données."
"Depuis l'incident, notre objectif a été de soutenir les efforts d'Optus pour aider les clients concernés et renforcer leurs contrôles de sécurité", indique le communiqué.
"La sécurité de l'information est d'une importance capitale pour le groupe Singtel et une priorité absolue dans toutes ses unités commerciales et nous investissons des ressources importantes pour renforcer continuellement nos défenses contre les menaces émergentes", ajoute le communiqué.
Les données comprenaient les numéros de passeport, de permis de conduire et d'identification nationale des soins de santé qui pourraient être utilisés pour le vol d'identité et la fraude.
Les autorités critiquent l'échec initial d'Optus à divulguer que les numéros d'assurance-maladie faisaient partie des données volées. Cela est devenu évident mardi lorsque le pirate informatique a vidé les enregistrements de 10 000 clients sur le dark web, six jours après qu'Optus a découvert la cyberattaque.
La réponse législative urgente est distincte d'un examen plus large de la Loi sur la protection des renseignements personnels qui a commencé il y a trois ans. La loi a été adoptée en 1988 et les critiques affirment qu'elle doit absolument être adaptée à l'ère numérique.
Optus pourrait être condamné à une amende maximale de 2 millions de dollars australiens (1,3 million de dollars) pour avoir enfreint la loi sur la confidentialité, a déclaré le gouvernement.
Il pourrait être condamné à une amende de centaines de millions de dollars pour une atteinte à la sécurité similaire en vertu des lois de l'Union européenne, a déclaré le gouvernement.
Les soumissions à l'examen de la loi sur la confidentialité ont suggéré des sanctions pour les violations équivalant à 10 % des revenus des opérations australiennes.
Le PDG d'Optus, Kelly Bayer Rosmarin, s'est opposé à l'augmentation des amendes, déclarant mardi à l'Australian Broadcasting Corp. :"Honnêtement, je ne sais pas quelles sanctions profitent à quiconque."
Optus affirme qu'il a été la cible d'une cyberattaque sophistiquée qui a pénétré plusieurs couches de sécurité.
Après une réunion d'urgence avec les régulateurs bancaires et des consommateurs, le ministre des Services financiers, Stephen Jones, a déclaré que les "fraudeurs" et les "escrocs" commençaient déjà à utiliser les données volées, notamment les numéros de téléphone et les adresses e-mail.
Avec des informations personnelles volées à 38 % de la population australienne de 26 millions d'habitants, "vous ne pouvez pas surestimer l'impact de cette violation sur les problèmes des consommateurs", a déclaré Jones.
Il a mis en garde les clients Optus compromis contre l'activation des URL qu'ils reçoivent par SMS ou par e-mail, car ils pourraient provenir de criminels tentant de voler plus d'informations.
"Nous travaillons tous du mieux que nous pouvons pour essayer de nous frayer un chemin à travers la longue queue de problèmes qui seront la conséquence de cette violation massive de données", a déclaré Jones.
© 2022 L'Associated Press. Tous les droits sont réservés. Ce matériel ne peut être publié, diffusé, réécrit ou redistribué sans autorisation. L'Australie réfléchit à des lois plus strictes sur la cybersécurité après une violation de données