La Securities and Exchange Commission a infligé une amende à Morgan Stanley Smith Barney (MSSB) pour avoir omis de protéger les informations d’identification personnelle (PII) de ses clients sur une période de cinq ans. La SEC affirme que Morgan Stanley n’a pas seulement détruit les données personnelles de ses clients à partir des disques durs destinés à être mis hors service, mais a également engagé des entreprises non qualifiées pour le faire.
La SEC a découvert que Morgan Stanley n’avait pas correctement éliminé les dispositifs de stockage contenant les PII de ses clients remontant à 2015. La commission a également découvert que dans plusieurs cas, Morgan Stanley avait engagé une « entreprise de déménagement et de stockage sans expérience ni expertise ». dans les services de destruction de données » pour retirer des milliers de disques durs et de serveurs contenant les informations personnelles de millions de ses clients. Au lieu de détruire les disques et le serveur, la société les a vendus à un tiers, qui les a vendus aux enchères sur Internet.
En règle générale, les entreprises traitant des données sensibles utilisent des modules de sécurité matériels (HSM) tels que LiquidSecurity de Marvell, des disques à cryptage automatique (SED) ou au moins cryptent les données via un logiciel. La mise hors service d’un SED est un processus simple et rapide car il suffit d’effacer la clé de chiffrement du disque. Morgan Stanley n’a pas utilisé de SED et n’a pas chiffré les données sur ses serveurs, même si ces derniers ont pris en charge une telle capacité. Habituellement, la mise hors service d’un serveur avec des données non cryptées nécessite d’effacer toutes les données et de s’assurer qu’il est impossible de les récupérer, ce qui inclut dans de nombreux cas la destruction physique des périphériques de stockage. Pourtant, les entrepreneurs de MSSB ne l’ont pas fait et MSSB n’a pas surveillé correctement son travail.
Enfin, Morgan Stanley a découvert que 42 serveurs, tous stockant hypothétiquement des informations personnelles non cryptées sur les clients et des informations sur les rapports des consommateurs, ont été essentiellement perdus ou volés par l’entreprise de déménagement.
« Les clients confient leurs informations personnelles à des professionnels de la finance avec la compréhension et l’attente qu’elles seront protégées, et MSSB n’a malheureusement pas réussi à le faire », a déclaré Gurbir S. Grewal, directeur de la division de l’application de la SEC. « Si elles ne sont pas correctement protégées, ces informations sensibles peuvent se retrouver entre de mauvaises mains et avoir des conséquences désastreuses pour les investisseurs. L’action d’aujourd’hui envoie un message clair aux institutions financières qu’elles doivent prendre au sérieux leur obligation de protéger ces données. »
Morgan Stanley a accepté de payer une amende de 35 millions de dollars sans admettre sa culpabilité ni nier les conclusions de la SEC.