En Australie, les autorités veulent rapidement réagir afin de prévenir les vols de données de grande ampleur. Elles ont ainsi dévoilé un vaste plan impliquant les banques et les opérateurs de télécommunications.

9,8 millions de personnes affectées en Australie

Cette annonce fait suite à une cyberattaque à l’encontre d’Optus, le deuxième opérateur mobile du pays, qui a mené au vol des données personnelles de 9,8 millions de personnes, ce qui équivaut à un Australien sur trois. Ces informations incluent notamment des copies de leur passeport, de leur permis de conduire, ainsi que leur numéro de sécurité sociale. Les cybercriminels ont publié les données de 10 000 de ces clients sur le dark web la semaine dernière, et ont exigé une rançon de 1 million de dollars de la part d’Optus.

Comme le rapporte Reuters, le gouvernement australien a reproché à l'entreprise d'avoir qualifié l'attaque de sophistiquée et d'avoir tardé à informer les clients concernés. En effet, ce dernier estime que la cyberattaque a été menée à cause d’une faille de sécurité basique. Depuis, les acteurs des télécommunications, de la finance ainsi que le gouvernement sont en état d'alerte, et veulent mettre en place un programme afin d’éviter qu’un événement de telle ampleur ne se reproduise.

Faciliter le partage d’informations entre banques et opérateurs

Les autorités ont ainsi proposé une refonte de la loi sur la protection de la vie privée des consommateurs. Leur but est de faciliter le partage ciblé des données entre les entreprises de télécommunications et les banques afin qu’elles coordonnent davantage leurs activités avec celles des institutions financières et du gouvernement.

Avec cette nouvelle mesure, les opérateurs pourront partager avec les banques les documents d'identification délivrés par les pouvoirs publics, afin de leur permettre de mettre en place une surveillance renforcée des clients touchés par des violations de données. En cas de cyberattaque ou d’autres actes liées à la cybercriminalité, chacune de ces entités devrait pouvoir grandement minimiser les conséquences de l’incident grâce à ces nouveaux outils de partage.

Par ailleurs, cette mise à jour va permettre de combattre les fraudes grâce aux mécanismes existants dans le secteur financier pour signaler les transactions frauduleuses. « Elles (ndlr : les nouvelles règles) ont été soigneusement conçues avec de solides garanties en matière de confidentialité et de sécurité afin de s'assurer que seules des informations limitées peuvent être rendues temporairement accessibles pour prévenir et répondre aux incidents de cybersécurité, aux fraudes, aux escroqueries et aux activités connexes », a déclaré Jim Chalmers, le Trésorier d’Australie.

Ainsi, les informations reçues par les banques devront être détruites lorsqu'elles ne seront plus nécessaires et ne pourront être utilisées que dans le seul but de prévenir ou de répondre à des incidents de cybersécurité, des fraudes, des escroqueries ou des vols d'identité.

La cybercriminalité est en hausse constante

En plus de cette refonte, le gouvernement veut sanctionner plus lourdement les entreprises dont les mesures de protection en matière de cybersécurité sont laxistes, et veut également imposer des restrictions sur la quantité et le type de données clients qu’elles peuvent accumuler.

Avec cette mesure, l’Australie pourrait faire figure de pionnière dans le domaine de la lutte contre la cybercriminalité, qui est largement en hausse d’année en année depuis les débuts de la pandémie de Covid-19. Il semble néanmoins évident que de telles règles soulèvent des questions sur la vie privée des citoyens, mais les cyberattaques atteignent désormais des ampleurs telles que les gouvernements doivent agir avec bien plus de poigne.