La banque d’investissement Morgan Stanley vient de se voir infliger une amende de 60 millions de dollars par le bureau de contrôle (OCC) du Trésor américain pour avoir mal géré l’arrêt de deux de ses datacenters. Cette sanction intervient à la suite d’un procès engagé par certains de ses clients déplorant un manque de protection d'informations personnelles identifiables lors de la mise hors service de certaines infrastructures et applications.

« En 2016, la banque a échoué à superviser correctement le décommissionnement de deux datacenters de son activité de gestion de patrimoine situés aux Etats-Unis », stipule l’ordonnance de consentement de l’OCC publié le 8 octobre. Le document explique que la banque, entre autres choses, n’a pas réussi à évaluer et à prendre en compte efficacement les risques de recourir à des tierces parties pour cette intervention incluant des sous-contractants, ni à maintenir un inventaire approprié des données clients stockées sur les équipements. Le bureau de contrôle du Trésor estime que l’établissement bancaire a échoué à choisir de façon adéquate ses prestataires sur ce projet et à superviser leurs performances. N’en restant pas là, Morgan Stanley a réitéré trois ans plus tard la même imprudence, cette fois lors de l’arrêt d’équipements de services applicatifs déployés dans le cadre d’un réseau étendu. Tant en 2016 qu’en 2019, la banque avait averti ses clients potentiellement concernés par ces incidents. Une centaine d’entre eux ont déposé une plainte. Le bureau de contrôle leur a donc donné raison.

Un sujet pour tout CISO ou responsable de département

Cité par le site bankinfosecurity, Richard Santalesa, un avocat de SmartEdgeLaw Group spécialisé dans la confidentialité des données, estime que l’amende montre que l’OCC veut attirer l’attention sur la façon dont les grandes institutions financières doivent surveiller les informations personnelles identifiables de leurs clients, de surcroît lorsqu’elles sont laissées entre les mains de tiers. La mésaventure de Morgan Stanley va assurément préoccuper plus d’un CISO dans le secteur de la finance, avance-t-il, considérant que tout responsable de département devrait rapidement mettre à l’ordre du jour ce sujet plus que sensible de la destruction des données.