Vivement que cette semaine horrible sur les fuites de données se termine. Après Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe) c’est au tour du portail en ligne PPAS (Portail Partenaires de l’Action sociale), hébergé par la Cnav, caisse nationale de l’Assurance retraite, d’être victime d’une fuite de données.
Cette fuite, selon le communiqué de l’Assurance retraite, est « appuyée sur des usurpations de comptes de prestataires de l’action sociale ». Il indique qu’une « mobilisation immédiate » de ses équipes techniques a « permis d’en identifier la cause ». Le portail est indisponible, pour le moment hors-service.
Il indique en effet que, « pour cause de maintenance, le Portail Partenaires Action Sociale est indisponible. Merci de votre compréhension ». L’Assurance affirme évidemment que « tout est actuellement mis en œuvre pour le rétablir ».
La liste des données personnelles comprend des adresses, numéros de Sécurité sociale ainsi que montant approximatif des ressources. Les informations d’« environ 370 000 bénéficiaires » ont ainsi été compromises. « Il s’agit de données pour la plupart anciennes : certaines des personnes concernées sont par exemple décédées », précise le communiqué.
On se rassure comme on peut : « Aucune donnée bancaire, aucune donnée relative au paiement, à la retraite, à la carrière ou aux prestations versées n’ont été compromises ». La CNIL a été informée, comme la loi l’oblige d’ailleurs en pareille situation. « Les personnes concernées seront informées; une plainte sera en parallèle déposée ».
La fin du communiqué pourrait presque prêter à sourire : « Face à la grande circulation de données personnelles sur le darkweb, les tentatives d’usurpation d’identités se multiplient. L’Assurance retraite invite donc l’ensemble de ses assurés à la plus grande vigilance sur leurs données personnelles ». On aimerait que toutes les entreprises appliquent « la plus grande vigilance à nos données personnelles ».
Comme nous l’expliquions dans un édito au début de l’année, Internet ressemble malheureusement de plus en plus à un annuaire des Français à ciel ouvert… 370 000 c’est une goutte d’eau face aux 10 millions chez Pôle emploi, 33 millions du tiers payant et les 43 millions de France Travail. Mais avec une petite nouveauté dans le cas de l’Assurance retraite : le « montant approximatif des ressources ».
Commentaires (16)
#1
#2
#3
Ici, je vois surtout en sus le numéro de sécu. qui permets quant même pas mal de chose.
#3.1
#3.2
#4
"vous en avez marre des fuites ? utilisez le !"
Historique des modifications :
Posté le 14/09/2024 à 01h13
Est-ce que Flock pourrait faire un dessin avec un tampon, dans le style :
"vous en avez marre des fuites ? utilisez !"
#4.1
#4.2
Celui de la boite, hein..
#5
Une fuite sur un évier ne blâme pas son propriétaire, car ce n'est a priori pas de sa faute.
Pour un vol de données, la non-sécurité du système d'information doit engager une responsabilité du propriétaire du SI : commençons déjà par du vocabulaire approprié.
Historique des modifications :
Posté le 14/09/2024 à 03h08
"fuite"
Une fuite sur un évier ne blâme pas le propriétaire de l'évier, car ce n'est a priori pas de sa faute.
Pour un vol de données, la non-sécurité du système d'information doit engager une responsabilité du propriétaire du SI : commençons déjà par du vocabulaire approprié.
#6
Espérons que ce passage sera vraiment bien mis en avant dans la communication aux personnes concernées ...
#6.1
#7
Facile, le principe de la prestation est de comprimer les coûts et se dédouaner de tout ce qui peut arriver en suite. Les belles histoires de recentrage sur le métier, c'est juste de la com pour faire vibrer les actionnaires ou autorités de tutelle. La sous-traitance, c'est avant tout payer pour se débarrasser d'un risque.
Pour changer cela, il faudrait rendre responsable les donneurs d'ordre sur une base simple: tout donneur d'ordre doit s'assurer des compétences de ses fournisseurs lors des appels d'offre et pendant l'exécution des contrats.
Comment peut-on s'estimer non coupable quand on ne choisi ses fournisseurs que sur la base du prix et argumenter que l'on ne savait pas ? Ne pas vouloir savoir est la base sur laquelle j'aimerai que tous ces décideurs soient personnellement mis en cause pour faute grave ainsi que toute leur hiérarchie qui ne peut pas ne pas savoir.
Cela est tout autant valable dans le cadre technique des piratages que dans le cadre social des livreurs de colis ou de nourriture qui ne peuvent en aucun cas respecter les règles du code de la route pour espérer survivre vu les conditions qu'on leur impose.
#7.1
mais énormément de SSII de progiciel te brident car leur logiciels fonctionnent uniquement en mode superadmin ( bon surtout ceux avec clients lourds ), eux faut vraiment se poser la question si ils ne sont pas responsable aussi
Historique des modifications :
Posté le 15/09/2024 à 08h34
Sincèrement y a prestataire et prestataire .. en SSII réseau , tu veux faire des choses pour sécuriser , mais énormément de SSII de progiciel te brident car leur logiciels fonctionnent uniquement en mode superadmin ( bon surtout ceux avec clients lourds )
#7.2
#7.3
Et l'histoire du cahier des charges c'est bien quand tu parles de d'un développement et achat d'un logiciel fait pour une boîte , mais les TPE PME ont pas vraiment le luxe de faire ce genre de choses , ils prennent ce qu'il y a sur le marché
#8