Fuites de données : Cybertek et Grosbill entrent dans la danse, Truffaut refuse de donner des détails

Fuites de données : Cybertek et Grosbill entrent dans la danse, Truffaut refuse de donner des détails

Il y a des semaines, comme ça…

39

Fuites de données : Cybertek et Grosbill entrent dans la danse, Truffaut refuse de donner des détails

Par Sébastien Gavois

Le 12 septembre à 18h06
Sécurité
3 min

Cybertek et Grosbill (qui appartiennent au même groupe) ont envoyé des emails à leurs clients pour les prévenir à leur tour d’une « tentative d'accès non autorisé » qui a pu compromettre « possiblement certaines données personnelles ». Pendant ce temps, Truffaut botte en touche sur nos questions.

Cybertek informe ses clients d’une « tentative d'accès »

La semaine est décidément marquée par des fuites de données à répétition. Boulanger, Cultura, DiviaMobilités, Truffaut et maintenant Cybertek. Le magasin spécialisé dans les composants informatiques use de circonvolutions :

« Nous tenons à vous alerter qu'une tentative d'accès non autorisé a récemment visé une partie de nos systèmes informatiques, compromettant possiblement certaines données personnelles de nos clients.
Les informations concernées incluent potentiellement des noms, prénoms, numéros de téléphone, adresses e-mail et postales ».

La société précise que « les mots de passe ou les informations bancaires » n’ont pas été compromis par cette « tentative d’accès ». Cybertek ne parle pas d’un prestataire externe, mais comme nous l’expliquions hier (via Zataz), cela pourrait être lié à une même affaire. Si c’est le cas, d’autres pourraient se joindre à la « fête ».

Grosbill lui emboite le pas

Même chose chez Grosbill (qui appartient à Cybertek, ce n’est donc pas surprenant que les deux communiquent en même temps), avec un message du même acabit, comme le rapporte SaxX. sur X. :

« Une tentative d’intrusion a ciblé une partie de nos systèmes informatiques, ce qui pourrait avoir compromis certaines informations personnelles de nos clients. Les données concernées incluent potentiellement des noms, prénoms, numéros de téléphone, ainsi que des adresses e-mail et postales ».

Là encore, aucune précision sur un éventuel partenaire externe mis en cause. Toujours selon SaxX. et Zataz, plus de 600 000 comptes seraient concernés. Ils se basent tous les deux sur les données publiées par les pirates, mais les chiffres ne correspondent pas à ceux avancés par les enseignes.

27 millions pour Boulanger selon le pirate, contre « quelques centaines de milliers de clients » pour le service presse, 2,6 millions chez Cultura, contre 1,5 million selon l’enseigne. Nous demanderons évidemment des précisions à Cybertek (et donc par ricochet à Grosbill).

Combien de clients concernés ? Truffaut botte en touche

De notre côté, nous avons contacté Truffaut pour avoir de plus amples détails et notamment connaître le nombre de clients affectés. Réponse pour le moins surprenante de l’intéressé : « Nous ne communiquons pas sur le chiffre. Il faudrait vous rapprocher de la CNIL ».

Surprenante, car la CNIL ne communique pas sur les affaires en cours, encore moins sur les détails. Et c’est d’ailleurs bien ce que nous répond le service presse de la Commission nationale de l'informatique et des libertés. Retour à l’envoyeur chez Truffaut, sans réponse cette fois-ci.

Voici le bilan (provisoire ?) :

  • Boulanger : « quelques centaines de milliers de clients »
  • Cultura : 1,5 million de clients
  • DiviaMobilités et Truffaut : pas de précision
  • Cybertek et Grosbill : en attente de précision

Commentaires (39)


Berbe Abonné
Le 12/09/2024 à 18h16
Truffaut ne communique pas non plus aux clients concernés quelles informations personnelles les concernant ont été impactées.

Ce serait une obligation morale, mais la morale, on sait bien que tout le monde s'en fout.
Est-ce une obligation légale ?
SebGF Abonné
Le 12/09/2024 à 18h54
L'article 34 du RGPD oblige à communiquer aux personnes concernées une violation de données.
ragoutoutou Abonné
Le 12/09/2024 à 20h38

SebGF

L'article 34 du RGPD oblige à communiquer aux personnes concernées une violation de données.
Bref, c'est une obligation légale, mais les obligations légales on peut aussi s'en foutre, merci la CNIL (Comité National d'Inaction Léthargique)
SebGF Abonné
Le 12/09/2024 à 21h03

ragoutoutou

Bref, c'est une obligation légale, mais les obligations légales on peut aussi s'en foutre, merci la CNIL (Comité National d'Inaction Léthargique)
Dans ce cas, peut-être que l'article 78 du RGPD peut valoir le coup d'être étudié.
brupala Abonné
Le 12/09/2024 à 21h55

SebGF

L'article 34 du RGPD oblige à communiquer aux personnes concernées une violation de données.
Mais est ce qu'ils sont sensés savoir ce qu'il y avait dans le fichier en question si il n'est pas à eux ?
ou alors des probabilités de présence ?
ragoutoutou Abonné
Le 12/09/2024 à 23h42

brupala

Mais est ce qu'ils sont sensés savoir ce qu'il y avait dans le fichier en question si il n'est pas à eux ?
ou alors des probabilités de présence ?
Effectivement, en l'absence de respect de l'article 34, utiliser l'article 78 est très difficile. C'est au final du sabotage organisé par l'état.
fred42 Abonné
Le 13/09/2024 à 00h42

SebGF

L'article 34 du RGPD oblige à communiquer aux personnes concernées une violation de données.
Il n'oblige à communiquer que si la violation de données est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.

Il n'est pas évident que des données liées à la livraison entrent dans ce cas.
Il y a probablement nom, adresse et nro de tel. On est d'accord, ce n'est pas génial comme fuite mais est-ce un risque élevé pour les droits et libertés, j'ai du mal à le dire.

La CNIL peut leur imposer de communiquer si elle a un jugement différent sur le risque. Elle a probablement plus d'infos pour juger du risque mais le signalement est récent.

@Berbe : je tenterais plutôt le dpo pour demander les données qui sont sorties de chez eux avec l'article 15 (en le tordant un peu) en invoquant le b) du 1. Quelque part, cette fuite est un traitement chez eux (en fait leur sous-traitant, mais ils sont responsables) ou demander l'adresse du dpo du sous-traitant pour faire la même demande.
fdorin Abonné
Le 13/09/2024 à 08h39

SebGF

L'article 34 du RGPD oblige à communiquer aux personnes concernées une violation de données.
Non.
Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique


Le simple phishing (nom, prénom, adresse postal / mail) ne constitue malheureusement pas un risque élevé.


SebGF Abonné
Le 12/09/2024 à 18h50
Apparemment CapGemini aussi aurait fait l'objet d'une cyberattaque (ça rappelle celle d'Altran peu avant qu'ils les rachètent). Mais dans l'immédiat ni confirmé ni démentie on dirait.

Edit :

Le journal La Croix aussi.
Modifié le 12/09/2024 à 18h52

Historique des modifications :

Posté le 12/09/2024 à 18h50


Apparemment CapGemini aussi aurait fait l'objet d'une cyberattaque (ça rappelle celle d'Altran peu avant qu'ils les rachètent). Mais dans l'immédiat ni confirmé ni démentie on dirait.

NiCr Abonné
Le 12/09/2024 à 18h59
"tentative... possiblement... potentiellement..."

Sacrée langue de bois !

De plus c'est faux : "une tentative d'accès non autorisé"

Une infrastructure publique reçoit chaque jour des milliers de "tentatives d'accès non autorisé".

S'il y a fuite de données c'est qu'il y a eu plus que "tentative" ; il y a bel et bien eu un accès qu'ils auraient aimé être non autorisé mais qui a pu avoir lieu en passant outre les contraintes mises en place.

Il y a des trous dans la raquette côté sécurité mais aussi côté juridique.
brupala Abonné
Le 12/09/2024 à 21h48
C'est vrai qu'un pauvre petit serveur ssh sur internet port 22 en reçoit une centaine par heure des tentatives d'accès non autorisées.
cauzik Abonné
Le 12/09/2024 à 19h02
Je n'ai reçu aucun mail de la part de Cultura malgré une commande il y a 4 ans (mon compte existe toujours)
Triton Abonné
Le 12/09/2024 à 19h10
Je suis concerné par la fuite de Sport 2000 (en avril, je crois) parce que j’ai reçu un spam sur l’adresse dédiée hier (je n’en avais pas eu avant sur cette adresse) mais je n’ai pas reçu de communication de Sport 2000 pour autant (et mon dernier achat chez eux a probablement plus de 8 ans !).
Modifié le 12/09/2024 à 19h16

Historique des modifications :

Posté le 12/09/2024 à 19h10


Je suis concerné par la fuite de Sport 2000 (en avril, je crois) parce que j’ai reçu un spam sur l’adresse dédiée hier (je n’en avais pas eu avant sur cette adresse) mais je n’ai pas reçu de communication de Sport 2000 pour autant (et mon dernier achat chez eux à probablement plus de 8 ans !).

Jarodd Abonné
Le 12/09/2024 à 19h12
C'est bien, ça va pousser toutes ces sociétés (et leurs prestataires) à investir dans leur sécurité. Et à minimiser les données (à quoi sert de conserver l'adresse de livraison d'une commandé traitée il y a 5 ans ?).

Oui, je sais, je suis naïf... :craint:
fred42 Abonné
Le 13/09/2024 à 09h46
Je suis d'accord avec toi sur la minimisation.
à quoi sert de conserver l'adresse de livraison d'une commandé traitée il y a 5 ans ?


Est-ce le cas ici ?
Jarodd Abonné
Le 13/09/2024 à 14h16

fred42

Je suis d'accord avec toi sur la minimisation.
à quoi sert de conserver l'adresse de livraison d'une commandé traitée il y a 5 ans ?


Est-ce le cas ici ?
Je ne sais plus chez qui j'avais vérifié, entre toutes ces sociétés trouées. Mais oui l'une d'entre elle disait qu'elle conservait 5 ans les données de livraison.
fred42 Abonné
Le 13/09/2024 à 20h52

Jarodd

Je ne sais plus chez qui j'avais vérifié, entre toutes ces sociétés trouées. Mais oui l'une d'entre elle disait qu'elle conservait 5 ans les données de livraison.
À la limite, que la société chez qui tu achètes le fasse si ça correspond à un besoin, pourquoi pas (par exemple si le délai de prescription pour une absence de livraison était de 5 ans ou si c'est pour des raisons comptables comme preuve d'une dépense pour les impôts), mais la société qui fait la livraison (le sous-traitant du vendeur comme ici n'a aucune raison de garder les infos personnelles liées à la livraison aussi longtemps une fois celle-ci effectuée.)
Jarodd Abonné
Le 14/09/2024 à 16h46

fred42

À la limite, que la société chez qui tu achètes le fasse si ça correspond à un besoin, pourquoi pas (par exemple si le délai de prescription pour une absence de livraison était de 5 ans ou si c'est pour des raisons comptables comme preuve d'une dépense pour les impôts), mais la société qui fait la livraison (le sous-traitant du vendeur comme ici n'a aucune raison de garder les infos personnelles liées à la livraison aussi longtemps une fois celle-ci effectuée.)
C'est ça. Sauf que quand on exerce ses droits et qu'on demande la suppression (incluant les prestataires), on nous répond "intérêt légitime". C'est bien pratique, l'excuse qui marche à tous les coups.
fred42 Abonné
Le 14/09/2024 à 20h08

Jarodd

C'est ça. Sauf que quand on exerce ses droits et qu'on demande la suppression (incluant les prestataires), on nous répond "intérêt légitime". C'est bien pratique, l'excuse qui marche à tous les coups.
L'intérêt légitime n'est pas un motif de refus de suppression des données personnelles :
le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel


De plus, la jurisprudence pour l'intérêt légitime est très restrictive sur ce qui entre dans ce cas. Ils doivent expliquer en quoi consiste leur intérêt légitime. Une plainte à la CNIL a toutes les chances d'invalider ce soit-disant intérêt légitime.
Jarodd Abonné
Le 15/09/2024 à 19h04

fred42

L'intérêt légitime n'est pas un motif de refus de suppression des données personnelles :
le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel


De plus, la jurisprudence pour l'intérêt légitime est très restrictive sur ce qui entre dans ce cas. Ils doivent expliquer en quoi consiste leur intérêt légitime. Une plainte à la CNIL a toutes les chances d'invalider ce soit-disant intérêt légitime.
Et pourtant la CNIL a toujours anéfé / rejeté / clôturé mes plaintes, en disant "on a fait les gros yeux au DPO, le problème est réglé" (je résume). Mais la société en question continue...
fdorin Abonné
Le 15/09/2024 à 10h34

Jarodd

C'est ça. Sauf que quand on exerce ses droits et qu'on demande la suppression (incluant les prestataires), on nous répond "intérêt légitime". C'est bien pratique, l'excuse qui marche à tous les coups.
Il ne faut pas confondre la base légale pour légitimer le traitement du droit d'accès, de modification et de suppression de ses propres données personnelles.

Un responsable de traitement ne peut refuser la suppression que dans 2 cas :
- s'il à l'obligation légale d'avoir ces données (ex. données de facturation, à conserver pendant 5 ans minimum)
- s'il peut avoir besoin de ces données pour se défendre, tant que les délais de prescription ne sont pas passés.

Et encore, il ne peut pas s'opposer à la suppression de toutes les données, seulement celles qui rentreraient dans une des deux catégories.
Jarodd Abonné
Le 15/09/2024 à 19h04

fdorin

Il ne faut pas confondre la base légale pour légitimer le traitement du droit d'accès, de modification et de suppression de ses propres données personnelles.

Un responsable de traitement ne peut refuser la suppression que dans 2 cas :
- s'il à l'obligation légale d'avoir ces données (ex. données de facturation, à conserver pendant 5 ans minimum)
- s'il peut avoir besoin de ces données pour se défendre, tant que les délais de prescription ne sont pas passés.

Et encore, il ne peut pas s'opposer à la suppression de toutes les données, seulement celles qui rentreraient dans une des deux catégories.
Je sais bien, ce n'est pas à moi qu'il faut l'expliquer, mais aux DPO qui répondent tout et surtout n'importe quoi.
fdorin Abonné
Le 15/09/2024 à 19h59

Jarodd

Je sais bien, ce n'est pas à moi qu'il faut l'expliquer, mais aux DPO qui répondent tout et surtout n'importe quoi.
Dans ce cas, 2 possibilités :
- soit tu réponds au DPO qu'il est dans l'erreur
- soit tu déposes une plainte auprès de la CNIL pour non respect de tes droits (comme tu as reçu une réponse du DPO, tu peux en théorie déposer plainte directement)
Jarodd Abonné
Hier à 09h54

fdorin

Dans ce cas, 2 possibilités :
- soit tu réponds au DPO qu'il est dans l'erreur
- soit tu déposes une plainte auprès de la CNIL pour non respect de tes droits (comme tu as reçu une réponse du DPO, tu peux en théorie déposer plainte directement)
J'ai déposé la plainte. Mais je sais déjà que la CNIL me répondra qu'elle a informé la société en question, et que la plainte est close. Comme elle le fait à chaque fois ! Peu importe si la société se met en conformité ou pas, elle fait juste une alerte sans conséquence (il faut ouvrir une nouvelle plainte si elle ne s'y met pas, qui sera aussi clôturée sans réelle sanction).
Nomans
Le 12/09/2024 à 20h08
Je pense qu'on a ici la preuve qu'il est beaucoup plus rentable, pour un pirate, de s'attaquer à un prestataire, et donc de récupérer les bases de données de plusieurs entreprises clientes à la fois (faire d'une pierre deux coups, et en l’occurrence plus que deux coups), plutôt que de s'attaquer directement à l'une de ces entreprises clientes en particulier.
Modifié le 12/09/2024 à 20h16

Historique des modifications :

Posté le 12/09/2024 à 20h08


Je pense qu'on a ici la preuve qu'il est beaucoup plus rentable pour un pirate de s'attaquer à un prestataire, et donc de récupérer les bases de données de plusieurs entreprises clientes (faire d'une pierre deux coups, et en l’occurrence plus que deux coups) à la fois, plutôt que de s'attaquer directement à une entreprise en particulier.

Posté le 12/09/2024 à 20h09


Je pense qu'on a ici la preuve qu'il est beaucoup plus rentable pour un pirate de s'attaquer à un prestataire, et donc de récupérer les bases de données de plusieurs entreprises clientes à la fois (faire d'une pierre deux coups, et en l’occurrence plus que deux coups), plutôt que de s'attaquer directement à une entreprise en particulier.

Posté le 12/09/2024 à 20h12


Je pense qu'on a ici la preuve qu'il est beaucoup plus rentable pour un pirate de s'attaquer à un prestataire, et donc de récupérer les bases de données de plusieurs entreprises clientes à la fois (faire d'une pierre deux coups, et en l’occurrence plus que deux coups), plutôt que de s'attaquer directement à l'une de ces entreprises en particulier.

Posté le 12/09/2024 à 20h12


Je pense qu'on a ici la preuve qu'il est beaucoup plus rentable pour un pirate de s'attaquer à un prestataire, et donc de récupérer les bases de données de plusieurs entreprises clientes à la fois (faire d'une pierre deux coups, et en l’occurrence plus que deux coups), plutôt que de s'attaquer directement à l'une de ces entreprises clientes en particulier.

SebGF Abonné
Le 12/09/2024 à 20h45
Alors maintenant, imagine :

- Un CRM en SaaS
- Comptabilité en SaaS
- ITSM en SaaS
- IDP en SaaS
- ...

Ça laisse rêveur comme surface d'attaque.

Et c'est la réalité dans de nombreuses entreprises.
Modifié le 12/09/2024 à 20h46

Historique des modifications :

Posté le 12/09/2024 à 20h45


Alors maintenant, imagine :

- Un CRM en SaaS
- Comptabilité en SaaS
- ITSM en SaaS
- IDP en SaaS
- ...

Ça laisse rêveur comme surface d'attaque.

jpaul
Le 13/09/2024 à 07h30

SebGF

Alors maintenant, imagine :

- Un CRM en SaaS
- Comptabilité en SaaS
- ITSM en SaaS
- IDP en SaaS
- ...

Ça laisse rêveur comme surface d'attaque.

Et c'est la réalité dans de nombreuses entreprises.
T’es pas prêt pour les SIRH en SaaS. La quantité de données personnelles qu’ils contiennent est sans commune mesure avec le reste.
SebGF Abonné
Le 13/09/2024 à 07h35

jpaul

T’es pas prêt pour les SIRH en SaaS. La quantité de données personnelles qu’ils contiennent est sans commune mesure avec le reste.
D'où les "...", je savais aussi que les outils RH étaient en SaaS ;)

Et mon idée n'était pas que donnée personnelle mais aussi stratégique. Typiquement, un ITSM qui se fait voler ses données, c'est tous les problèmes du SI avec souvent des gens qui foutent des mots de passe dans les tickets (oui oui) qui partent. Bref, la cartographie du SI, tous ses bugs, ses failles, sur un plateau.

Un peu comme se faire poutrer son SAST quoi.
jpaul
Le 13/09/2024 à 07h46

SebGF

D'où les "...", je savais aussi que les outils RH étaient en SaaS ;)

Et mon idée n'était pas que donnée personnelle mais aussi stratégique. Typiquement, un ITSM qui se fait voler ses données, c'est tous les problèmes du SI avec souvent des gens qui foutent des mots de passe dans les tickets (oui oui) qui partent. Bref, la cartographie du SI, tous ses bugs, ses failles, sur un plateau.

Un peu comme se faire poutrer son SAST quoi.
Oui oui je me doute. Mais pour avoir eu le nez dedans professionnellement, je trouve le cas très spécial : depuis je me chie dessus que ça puisse arriver parce que je n’ai jamais vu de ma vie des dossiers personnels aussi concentrés au même endroit. En qualité de données on est sur des trucs genre « nom, prénom, adresse, sécurité sociale, téléphone, idem pour le conjoint, enfants, rib, montant du salaire, contrat, scans de pleins de documents ( pièces d’identité, diplômes, certifications, titres de séjour…), évaluations pro … et j’en passe.

En ce qui me concerne et du peu que j’ai vu, j’ai pu constater une sécurité plutôt prise au sérieux, mais les données sont juste là dans des tables de bases de données, prêtes à être dumpées au premier arrivé. C’est flippant.
Ramaloke Abonné
Le 13/09/2024 à 09h12

jpaul

Oui oui je me doute. Mais pour avoir eu le nez dedans professionnellement, je trouve le cas très spécial : depuis je me chie dessus que ça puisse arriver parce que je n’ai jamais vu de ma vie des dossiers personnels aussi concentrés au même endroit. En qualité de données on est sur des trucs genre « nom, prénom, adresse, sécurité sociale, téléphone, idem pour le conjoint, enfants, rib, montant du salaire, contrat, scans de pleins de documents ( pièces d’identité, diplômes, certifications, titres de séjour…), évaluations pro … et j’en passe.

En ce qui me concerne et du peu que j’ai vu, j’ai pu constater une sécurité plutôt prise au sérieux, mais les données sont juste là dans des tables de bases de données, prêtes à être dumpées au premier arrivé. C’est flippant.
Et il faut aussi ajouter que dans beaucoup de cas ces sociétés externes proposent aussi des "coffre fort sécurisé" dans leur package où ils incident à conserver tous les documents "importants"...

Et si on parle de risque, j'imagine à peine un crack de docusign, parce que les contrats privés (salaire, conjoints, négociation privé etc.) c'est déjà vilain, mais j'imagine même pas les contrats "pro" entre deux entités avec les négociations de marge, les assurances et les pénalités, du pain bénis pour la concurrence...
NiCr Abonné
Le 12/09/2024 à 23h02
Après il faut voir où on établi la limite sur la notion de prestataire.

Dans le monde professionnel, quasi toute entreprise est prestataire d'autres entreprises qui sont elle-mêmes prestataires d'autres entreprises...

Par exemple si quelqu'un attaque O365 pour récupérer des données, on considère que c'est Microsoft qui est visé ou les clients d'O365 ?

Sachant que par exemple une entreprise de nettoyage peut avoir Microsoft comme prestataire pour ses e-mails... tout en ayant Microsoft pour client, chez qui elle fait le ménage !

Et une fuite de données professionnelles est par nature bien plus dangereuse que des données personnelles car les possibilités d'actions sont bien plus grandes.

Pour rester sur l'exemple du phishing, récupérer l'accès à un ordinateur perso va te donner accès à une partie de la vie du propriétaire de la machine, tandis que faire de même sur une machine pro va te donner accès à une partie du SI de l'entreprise
jpaul
Le 13/09/2024 à 07h36

NiCr

Après il faut voir où on établi la limite sur la notion de prestataire.

Dans le monde professionnel, quasi toute entreprise est prestataire d'autres entreprises qui sont elle-mêmes prestataires d'autres entreprises...

Par exemple si quelqu'un attaque O365 pour récupérer des données, on considère que c'est Microsoft qui est visé ou les clients d'O365 ?

Sachant que par exemple une entreprise de nettoyage peut avoir Microsoft comme prestataire pour ses e-mails... tout en ayant Microsoft pour client, chez qui elle fait le ménage !

Et une fuite de données professionnelles est par nature bien plus dangereuse que des données personnelles car les possibilités d'actions sont bien plus grandes.

Pour rester sur l'exemple du phishing, récupérer l'accès à un ordinateur perso va te donner accès à une partie de la vie du propriétaire de la machine, tandis que faire de même sur une machine pro va te donner accès à une partie du SI de l'entreprise
La question n’est pas si importante que ça. Le responsable légal des données est celui qui les collecte ou donne l’ordre de les collecter. Si le prestataire responsable des newsletters de Boulanger se fait poutrer, prestataire choisi par une SSII embauchée par boulanger, cela reste Boulanger qui a décidé de collecter et utiliser ces données.

C’est comme si tu as un défaut dans ton appartement neuf: le responsable, pour toi, sera toujours le promoteur qui te l’a vendu même si le problème vient d’un mauvais travail fait par un type payé au black par un sous-sous-sous-traitant.
SebGF Abonné
Le 13/09/2024 à 07h37

NiCr

Après il faut voir où on établi la limite sur la notion de prestataire.

Dans le monde professionnel, quasi toute entreprise est prestataire d'autres entreprises qui sont elle-mêmes prestataires d'autres entreprises...

Par exemple si quelqu'un attaque O365 pour récupérer des données, on considère que c'est Microsoft qui est visé ou les clients d'O365 ?

Sachant que par exemple une entreprise de nettoyage peut avoir Microsoft comme prestataire pour ses e-mails... tout en ayant Microsoft pour client, chez qui elle fait le ménage !

Et une fuite de données professionnelles est par nature bien plus dangereuse que des données personnelles car les possibilités d'actions sont bien plus grandes.

Pour rester sur l'exemple du phishing, récupérer l'accès à un ordinateur perso va te donner accès à une partie de la vie du propriétaire de la machine, tandis que faire de même sur une machine pro va te donner accès à une partie du SI de l'entreprise
Le RGPD attend que les responsabilités entre le responsable du traitement et son sous-traitant soient définis dans la relation contractuelle.

Cette partie est définie par les article 28 et 29.

L'évaluation de cette relation fait, en principe, partie de la mission du DPO.
ZeMeilleur Abonné
Le 13/09/2024 à 07h01
Je ne comprends pas qu'il n'y ait pas un BEA des données personnelles.
Un audit public de sociétés dès qu'un sinistre dépasse les X clients ou Y euros.
En mode Retex comme pour les moyens de transports, ça permet aussi une transparence vis à vis des victimes et un petit peu de name and shame.
Parce que actuellement c'est balec' total...
alex.d. Abonné
Le 13/09/2024 à 11h27
N'est-ce pas le rôle de l'ANSSI ? En tout cas, ça devrait.
Gilbert_Gosseyn Abonné
Le 13/09/2024 à 10h17
Si ce prestataire externe est le même pour ces différences boites, il peut d'hors et déjà se préparer à mettre la clef sous la porte.
Zulgrib Abonné
Le 14/09/2024 à 11h05
Cybertek n'ont pas notifié les clients B2B de cette fuite.
fred42 Abonné
Le 14/09/2024 à 14h05
Le RGPD ne concerne que les personnes physiques. Qui dit B2B dit personne morale.

Mais ils auraient pu les informer s'ils l'avaient voulu.
Zulgrib Abonné
Hier à 23h27

fred42

Le RGPD ne concerne que les personnes physiques. Qui dit B2B dit personne morale.

Mais ils auraient pu les informer s'ils l'avaient voulu.
Il peut arriver qu'ils aient des informations non pro, notamment dans le cadre de livraisons directes au client final. (Le fameux «dropshipping»).

La manie de vouloir un numéro de mobile et non un fixe fait qu'ils terminent avec des données bel et bien perso aussi.
Fermer