5 entreprises qui ont subi des violations de données - et payé le prix

Les violations de la cybersécurité empirent. Alors que le développement de l'IA se poursuit, les criminels utilisent des méthodes de plus en plus sophistiquées pour duper les individus sans méfiance et accéder à vos informations. Selon le rapport Tech.co « Impact of Technology on the Workplace », au moins 16% des entreprises ont connu une violation en 2024, avec 5% supplémentaires.

Les répercussions de ces violations de données peuvent être graves. À court terme, vous pourriez être confronté à des problèmes financiers importants. Par exemple, les cybercriminels peuvent maintenir vos informations à Ransom. Si vous ne payez pas, cela peut se retrouver sur le Web Dark - à quel moment, vos clients déposeront probablement une action en justice.

C'est à long terme, cependant, que les entreprises éprouvent les conséquences les plus douces. Récemment, des rapports ont émergé que la société de tests d'ADN 23andMe devait déposer la faillite et se vendre plus tard alors qu'elle continue de subir les retombées d'une violation de haut niveau en 2023. Et il existe d'innombrables autres exemples.

De la destruction de votre réputation au pillage de vos finances, les violations de données peuvent avoir un impact véritablement catastrophique sur votre entreprise. Dans ce guide, j'ai dressé une liste de certaines des entreprises qui ont dû endurer des difficultés extrêmes en raison d'une cyberattaque.

23andme

Comme mentionné ci-dessus, la société de tests génétiques a été impliquée dans des problèmes juridiques depuis qu'il a été frappé par une violation de données massive en octobre 2023. Un cyber-criminel a saisi des informations personnelles appartenant à pas moins de 6,9 ​​millions de clients - un peu moins de la moitié de la clientèle totale de l'entreprise.

Il semblerait que le criminel a profité de deux caractéristiques - appelées «parents d'ADN» et «arbre généalogique» - qui permettent aux clients de partager des informations entre eux, afin de voler autant d'informations.

Il s'est également avéré qu'ils ciblaient spécifiquement les personnes atteintes d'un patrimoine juif chinois et ashkénaze, dont les informations ont été mise en vente sur le Web Dark. 23andMe n'a pas informé ces clients.

Qu'est-il arrivé à 23andme?

La société a été rapidement frappée par un recours collectif. En septembre 2024, il a accepté de payer 30 millions de dollars en paiements en espèces à des personnes dont les informations ont été volées. Il a également convenu de fournir trois ans de surveillance de la sécurité, les clients autorisés à s'inscrire à un programme appelé «Shield Medical & Medical Shield + Surveillance génétique».

Cette énorme dépense financière a nécessité une restructuration d'entreprise, ce qui a finalement abouti à 200 employés, soit 40% de la main-d'œuvre totale, perdant leur emploi. 23andMe a arrêté tout le développement de ses thérapies et s'est mis en vente. Après plusieurs offres de prise de contrôle ratées, la PDG Anne Wojcicki a démissionné. La société a maintenant déposé un bilan car elle cherche un nouvel acheteur.

Avec des doutes sur les futurs tourbillons de l'entreprise, les clients sont préoccupés par leurs données. Le 21 mars 2025, le procureur général de Californie, Rob Bonta, a publié une alerte de consommation, exhortant les gens à supprimer leurs comptes et leurs données génétiques correspondantes. Lorsque tout est dit et fait, la violation des données de 23andMe n'a été rien de moins qu'une catastrophe pour les entreprises et les clients.

Méta

Le géant des médias sociaux n'est pas étranger à la controverse. Au fil des ans, la société gérée par Mark Zuckerberg a été au centre de nombreux scandales, de Facebook-Cambridge Analytica aux accusations de désinformation des élections généralisées en 2016.

Il détient également l'honneur douteux de la récipiendaire de la plus grande infraction aux données de la vie privée de l'histoire. Tout a commencé en 2013, lorsque le militant autrichien Max Schrems a intenté une action en reure que ce soit contre Meta, citant des inquiétudes selon lesquelles lorsque les données des utilisateurs européennes ont été transférées aux États-Unis, elle n'était pas suffisamment protégée contre les agences de renseignement américaines.

Puis, en août 2020, la Commission de protection des données de l'Irlande (DPC) a lancé une enquête sur Meta Platform Ireland Limited, qui a finalement été conclue en mai 2023. Meta Ireland a été reconnu coupable de ne pas avoir établi de garde-corps appropriés pour protéger les informations de l'utilisateur en question.

Qu'est-il arrivé à Meta?

La plate-forme a été facturée 1,3 milliard de dollars pour violation du règlement général sur la protection des données (RGPD), un mandat de l'Union européenne (UE) conçue pour appliquer la confidentialité de l'information. Les régulateurs de l'UE ont également ordonné à Meta de suspendre le transfert de données personnelles aux États-Unis, ce qui a eu un impact de victoire important sur la façon dont Meta effectue ses opérations en Europe.

Au-delà de cela, la société a subi un coup massif à sa réputation. Bien que difficiles à quantifier, les impacts de cela sont souvent de grande envergure et permanents. Meta a l'intention de faire appel de la décision, mais les dommages ont été causés.

Travelx

En décembre 2019, la société de change Travelx a subi une violation massive de données. Les cybercriminels ont lancé une attaque sophistiquée de ransomwares le soir du Nouvel An qui a amené l'entreprise à l'arrêt complet. Travelex a abattu ses sites Web dans 30 pays pour essayer de contenir l'attaque, mais c'était en difficulté.

Les criminels, qui faisaient partie d'un gang connu sous le nom de Revil, ont déclaré avoir déjà accédé au réseau informatique de l'entreprise et volé 5 Go de données clients sensibles. Il en prétend que les dates de naissance, les informations sur les cartes de crédit et les numéros d'assurance nationale.

Travelex n'a pas déposé de rapport de violation de données au Bureau du Commissaire au Royaume-Uni (ICO), qui est une exigence nationale pour les entreprises qui souffrent de violations de données. En vertu du RGPD, le fait de ne pas le faire dans les 72 heures suivant la violation d'origine peut entraîner une amende de 4% du chiffre d'affaires mondial de l'entreprise.

Qu'est-il arrivé à Travelex?

Après avoir négocié avec les préparateurs, la société a accepté de payer une rançon de 2,3 millions de dollars. Sa société mère, Finablr, a tenté de vendre l'entreprise, mais a finalement échoué. Une restructuration ultérieure a entraîné la perte de plus de 1 300 emplois.

Il s'est avéré plus tard que les préoccupations concernant les vulnérabilités de la sécurité numérique avaient été soulevées plus tôt en 2019. Lorsque cela a été révélé, l'impact sur la réputation de Travelex a été catastrophique. La société a survécu à l'épreuve, mais elle n'a jamais repris la part de marché qu'elle a détenue avant de subir la violation de la cybersécurité.

Méditer

Le vendeur d'ordonnances australien, la médiation a révélé qu'elle avait connu une violation de données en juillet 2024, au cours de laquelle les informations personnelles de 12,9 millions de personnes ont été compromises. En d'autres termes, près de la moitié de la population du pays.

Les informations sur la nature de la violation sont rares, mais on pense que les cybercriminels ont exploité une vulnérabilité au sein de la succession informatique de l'entreprise pour planter une attaque de ransomware. À partir de là, ils ont crypté les données sensibles des clients et ont demandé une rançon pour sa version.

Qu'est-il arrivé à méditer?

Que l'entreprise ait ou non cédé aux demandes des criminels n'est pas claire, mais ce que nous savons avec certitude, c'est qu'ils ne se sont pas arrêtés là. Avec toutes ces informations personnelles à leur disposition, les criminels ont également lancé une série d'attaques ultérieures contre les personnes touchées.

Anticipant une avalanche de poursuites judiciaires de clients mécontents, Mediseecure a demandé un renflouement du gouvernement australien. Il a été rejeté. La société est depuis entrée en administration, ce qui signifie qu'elle est en train d'être réorganisée, en vue de son arrêt total.

Données publiques nationales

La société de vérification des antécédents des employés a été soumise à une violation massive de données en août 2024. Les cybercriminels auraient eu accès à la base de données de l'entreprise via un fichier zip situé sur le site Web de la société. Ils ont volé pas moins de 2,9 milliards de dossiers appartenant à 170 millions de personnes .

Qu'est-il arrivé aux données publiques nationales?

Comme on pouvait s'y attendre, l'entreprise ne s'est jamais rétablie. Peu de temps après que la violation a été révélée, la société a déposé un bilan pour préparer les litiges et les enquêtes ultérieurs. En fin de compte, il a été fermé.