Joe Sullivan, ancien responsable de la sécurité informatique chez Uber a été condamné jeudi dernier à une amende de 50 000 dollars, rend compte l'agence Associated Press. En 2016, 57 millions de comptes dont 50 millions d'usagers de l'application de VTC ont été piratés. L'entreprise n'avait pas signalé la fuite et avait payé 100 000 dollars aux pirates pour la suppression des données.
Ce n'est qu'en novembre 2017 que l'information a été révélée par Bloomberg. Joe Sullivan avait été licencié directement après la publication. Pour cette fuite non signalée, la CNIL a infligé en 2018 à Uber une amende de 400 000 euros.
Joe Sullivan a été reconnu coupable d'entrave à la justice et dissimulation de crime en octobre dernier par un jury fédéral. Le bureau du procureur des États-Unis a expliqué que Joe Sullivan avait mis en place un plan pour cacher la fuite au public et à la Commission fédérale du commerce (en anglais, Federal Trade Commission, FTC) qui enquêtait déjà sur un autre piratage survenu en 2014. Les 100 000 dollars payés aux pirates l'auraient aussi été en échange de la promesse de ne pas révéler l'affaire.
Commentaires (6)
#1
Je plussoie du verdict car visiblement le mec est un bandit mais ne peux m’empêcher de me poser la question de la jurisprudence que cela va engendrer pour les CISO dans leurs pratiques.
Devenir RSSI va t-il devenir un métier à risque ?
#1.1
Ben faut juste ne pas cacher le crime.
C’est comme dans d’autres secteurs, quand ton patron te demande de faire un truc illégal tu refuses, sinon tu es responsable. (enfin, la première étape c’est de lui demander de faire la demande par écrit, généralement ils ne le font pas)
#1.2
Si ce n’est pas un métier à risque, il n’y a pas de responsabilité et pas besoin de payer la personne bien cher.
Il y a plein de professions qui sont “à risque”, par exemple un expert comptable.
#1.3
Je pensais plutôt au rôle du DPO qui n’est pas responsable de la conformité mais qui la gère dans l’entreprise. Le RSSI n’est pas sensé agir tout seul dans ce genre de cas, c’est sensé être le dirigeant qui valide les décisions aussi grosses que celles-ci.
Mais au train où vont les choses, le RSSI et le DPO peuvent fusionner pour ne donner plus qu’un rôle dans les PME.
#1.4
Quelle est la différence entre DPO et RSSI, a part que l’un est en français et l’autre en anglais.
https://www.oracle.com/fr/security/definition-rssi-responsable-securite-systeme-information-ciso.html
Les 2 sont resppnsables de la protection des données.
#1.5
L’appellation RSSI et française mais CISO est anglais. Ils sont pourtant bien différents car il n’est pas obligatoire d’avoir un RSSI en France sauf à vouloir être certifié. Alors que le DPO est une obligation pour certains types d’entreprises.
De plus, le RSSI protège certes les données mais sa motivation n’est que business, c’est une protection pour préserver les actifs de l’organisation alors que le DPO protège les données dans le but de protéger la vie privée des personnes et ça, c’est une grande différence.