Publié dans Internet

62

Une mutuelle laisse fuiter, deux fois, les données personnelles de ses 80 000 adhérents

Une mutuelle laisse fuiter, deux fois, les données personnelles de ses 80 000 adhérents

« Les noms, prénoms, dates de naissance, codes postaux et – pour plus d’un quart de la base – adresses mails » de 80 000 adhérents et ex-clients d’Emoa Mutuelle du Var ont été dérobés, deux fois, et mises en vente « sur des plateformes cybercriminelles », révèle CheckNews.

« Près de 3 000 victimes voient également leur numéro de sécurité sociale divulgué. Et, pour certaines, c’est carrément la photocopie de leur passeport ou l’ensemble de leurs coordonnées bancaires (RIB, IBAN, BIC) qui se retrouvent dans la nature, grâce à des liens accessibles dans le fichier volé. »

Une première fuite avait été repérée en mars dernier par l'ANSSI. Elle avait prévenu la mutuelle, qui avait elle-même notifié ses assurés concernés, ainsi que la CNIL, comme le veut la loi.

Or, « un mois plus tard, la mutuelle est de nouveau la cible d’un piratage. Les "mesures de sécurisations adaptées" semblent, au mieux, ne pas avoir fonctionné : c’est le même serveur qui a été ciblé ».

La fuite concerne cette fois un « annuaire avec les noms des salariés, liste de leurs mails avec certains mots de passe, calendrier des commerciaux de la mutuelle, ou encore le contenu des échanges d’une messagerie interne de l’entreprise » : « Et surtout, plusieurs bases qui contiennent les données personnelles de dizaines de milliers de personnes affiliées à cette mutuelle. »

Damien Bancal, qui chronique et documente la cybercriminalité depuis des années sur zataz.com, avait alerté la mutuelle dès le mois d'avril, mais cette dernière « a voulu s’assurer que cette personne était légitime. On a demandé à l'ANSSI, qui ne nous a pas répondu. »  

Il a fallu attendre que CheckNews « explique précisément la nature de la faille concernant l’accès aux documents sensibles de la mutuelle, pour que celle-ci soit en mesure de la combler, ce jeudi 28 juillet ».

Bancal avait pourtant alerté l'ANSSI qui, « sollicitée par CheckNews, n’a pas souhaité faire de commentaire ».

62

Tiens, en parlant de ça :

ADRAS-J : un autre « camion poubelle » de l’espace d’Astrocale en orbite

Explorons la décharge orbitale !

17:32 Science 2
répéteur wifi 7 free

Dans les entrailles du répéteur Wi-Fi 7 de Free

C’est comme une Freebox Ultra, en castrée

16:10 HardWeb 7
Conteneurs

Conteneurs, machines virtuelles : quelle différence ?

Mise en boîte

11:59 Soft 12
62

Commentaires (62)


Le 01/08/2022 à 06h 26

A quand de lourdes amendes pour défaut de sécurisation ? Ah non, c’est juste bon pour le particulier qui configure mal sa box, pas pour les entreprises qui disposent de SI c’est open bar


gg40 Abonné
Le 01/08/2022 à 06h 36

(reply:2086619:Boris Vassilieff)




Ce serait super délicat de faire ça.
Pour les petits infogérants (comme moi) cela mettrai de petites société dans une insécurité qui ne serait pas acceptable. Tous le monde peut se faire pirater même les plus gros.


eglyn Abonné
Le 01/08/2022 à 06h 41

Ouais, enfin, là c’est 2 fois d’affiler sur le même serveur quand même…


gg40 Abonné
Le 01/08/2022 à 07h 04

eglyn

Ouais, enfin, là c’est 2 fois d’affiler sur le même serveur quand même…


Oui c’est clairement abusé pour ce genre de structure, on est bien d’accord.



Je réagissait juste pour porter à l’attention de @Boris les effets collatéraux de ce genre de propositions.



Nul doute que si on en venait là il y aurai des seuils pour les petites structures.
Les lois “anti gafam” font parfois mal aux petits acteurs.


anagrys Abonné
Le 01/08/2022 à 07h 02

(reply:2086619:Boris Vassilieff)




Et pourtant, la loi prévoit des sanctions. Affaire à suivre dans ce cas précis, du coup.
En tout cas, l’excuse du “ah, mais on nous a bien reporté un souci mais on a demandé à l’Ansii si la personne était légitime et personne ne nous a répondu, donc on n’a rien fait”, ça ressemble pas mal à du foutage de gueule.



Les petits infogérants, quand on leur met le nez dans le caca, j’imagine qu’ils font quand-même le minimum pour vérifier que ça en est bien, avant de se demander si la personne qui l’a fait est légitime à le faire, non…?


gg40 Abonné
Le 01/08/2022 à 07h 10

anagrys


(reply:2086619:Boris Vassilieff)




Et pourtant, la loi prévoit des sanctions. Affaire à suivre dans ce cas précis, du coup.
En tout cas, l’excuse du “ah, mais on nous a bien reporté un souci mais on a demandé à l’Ansii si la personne était légitime et personne ne nous a répondu, donc on n’a rien fait”, ça ressemble pas mal à du foutage de gueule.



Les petits infogérants, quand on leur met le nez dans le caca, j’imagine qu’ils font quand-même le minimum pour vérifier que ça en est bien, avant de se demander si la personne qui l’a fait est légitime à le faire, non…?



Les petits infogérants, quand on leur met le nez dans le caca, j’imagine qu’ils font quand-même le minimum pour vérifier que ça en est bien, avant de se demander si la personne qui l’a fait est légitime à le faire, non…?




Je comprends pas trop la question :(
je suis indépendant depuis 15 ans et je fais mon travail au mieux. Je n’ai jamais perdu une donnée ou m’ai fait pourrir une machine. Mais il y a aussi des débutants dans ce métier et la sécu absolue n’existe pas.



Je dis juste qu’il faut faire attention aux petits écosystèmes.


anagrys Abonné
Le 01/08/2022 à 07h 40

gg40


Les petits infogérants, quand on leur met le nez dans le caca, j’imagine qu’ils font quand-même le minimum pour vérifier que ça en est bien, avant de se demander si la personne qui l’a fait est légitime à le faire, non…?




Je comprends pas trop la question :(
je suis indépendant depuis 15 ans et je fais mon travail au mieux. Je n’ai jamais perdu une donnée ou m’ai fait pourrir une machine. Mais il y a aussi des débutants dans ce métier et la sécu absolue n’existe pas.



Je dis juste qu’il faut faire attention aux petits écosystèmes.


c’est bon signe, si tu comprends pas la question :D



Je disais simplement que de ton côté, si quelqu’un te dit qu’il y a un souci de sécurité sur un site que tu gères, ton réflexe sera peut-être de vérifier qu’il y a effectivement un problème et, si oui, de le régler. Pas de demander à l’Ansii si la personne qui t’a remonté le problème est légitime à le faire sans rien faire en attendant une hypothétique réponse.


gg40 Abonné
Le 01/08/2022 à 07h 55

anagrys

c’est bon signe, si tu comprends pas la question :D



Je disais simplement que de ton côté, si quelqu’un te dit qu’il y a un souci de sécurité sur un site que tu gères, ton réflexe sera peut-être de vérifier qu’il y a effectivement un problème et, si oui, de le régler. Pas de demander à l’Ansii si la personne qui t’a remonté le problème est légitime à le faire sans rien faire en attendant une hypothétique réponse.


Ha c’est plus clair :)



Bien sur que je le prends en compte.
Certains clients font faire des pentest réguliers sur leurs applications et les serveurs d’hébergement.
Ça coûte assez cher et ce n’est pas la majorité.



Mon boulot c’est le paramétrage des OS, les mises à jours, les backup externalisés, les PRA, le firewall et les pots de miel, la qualité de services etc.



Tout ça c’est bien, mais si tu à un hacker de “haute volé” qui est à tes basques….



L’immense majorité des problèmes se trouvent au niveau du code PHP des sites web, mais ça, ce n’est pas dans mon périmètre.
Je restaure régulièrement des Wordpress piratés parfois depuis plusieurs mois par exemple.


Le 01/08/2022 à 12h 30

gg40

Ha c’est plus clair :)



Bien sur que je le prends en compte.
Certains clients font faire des pentest réguliers sur leurs applications et les serveurs d’hébergement.
Ça coûte assez cher et ce n’est pas la majorité.



Mon boulot c’est le paramétrage des OS, les mises à jours, les backup externalisés, les PRA, le firewall et les pots de miel, la qualité de services etc.



Tout ça c’est bien, mais si tu à un hacker de “haute volé” qui est à tes basques….



L’immense majorité des problèmes se trouvent au niveau du code PHP des sites web, mais ça, ce n’est pas dans mon périmètre.
Je restaure régulièrement des Wordpress piratés parfois depuis plusieurs mois par exemple.

moi c’est pareil, je suis couvreur, si il y a du vent violent non dominant et que j’ai pas mis le parevapeur, j’y peu rien si de l’eau rentre :phiphi: , j’ai un métier et j’ai autre choses a faire plus professionnel.



de toute façon la décennal est la pour cela :mdr: , me faite pas avec des pb qui ne me concerne pas, sans déconner, le client avait cas le demander.


fry Abonné
Le 01/08/2022 à 13h 01

sanscrit

moi c’est pareil, je suis couvreur, si il y a du vent violent non dominant et que j’ai pas mis le parevapeur, j’y peu rien si de l’eau rentre :phiphi: , j’ai un métier et j’ai autre choses a faire plus professionnel.



de toute façon la décennal est la pour cela :mdr: , me faite pas avec des pb qui ne me concerne pas, sans déconner, le client avait cas le demander.


ça dépend, le pare-vapeur fait partie de la prestation de base ou c’est une options avec documentation explicite au client qui a refusé sciemment en disant un truc du genre “m’en fout c’est trop cher, de toute façon le vent est jamais violent” … ?



note que c’est pas forcément le couvreur qui aurait du prendre la décision de mettre un pare-vapeur, c’est peut-être le promoteur immobilier qui à fait construire qui à viré l’option, le client/locataire s’en mord les doigts, le couvreur à pas eu voix au chapitre pour argumenter que le pare-vapeur c’est mieux …



edit : typo


Jarodd Abonné
Le 01/08/2022 à 08h 00

Désolé mais l’argument du “petit” ne tient pas. Sous prétexte qu’on n’a pas beaucoup de moyen, il ne faudrait prendre les précautions de base en matière de sécurité ? Concernant la news, la mutuelle a été avertie, et n’a rien fait. Mais c’est pas grave parce qu’elle est “petite” ?


gg40 Abonné
Le 01/08/2022 à 08h 02

Jarodd

Désolé mais l’argument du “petit” ne tient pas. Sous prétexte qu’on n’a pas beaucoup de moyen, il ne faudrait prendre les précautions de base en matière de sécurité ? Concernant la news, la mutuelle a été avertie, et n’a rien fait. Mais c’est pas grave parce qu’elle est “petite” ?


A mon avis, au pire, c’est la faille précédente n’a pas été bouchée ou alors ils n’ont pas compris (complètement ou pas du tout) ce qui c’est passé.



Ou alors le problème se trouvait au niveau du serveur et pas de l’applicatif.


Freeben666 Abonné
Le 01/08/2022 à 08h 24

Le petit infogérant (ou toute autre entreprise en charge de données) qui réussit à se faire hacker deux fois d’affiler il mérite un peu d’insécurité. Surtout quand il s’agit de données sensibles telles que des données médicales.



Et pas que les petits d’ailleurs. Une amende de 200% du CA annuel pour la deuxième fuite de données sensibles ça en calmerait plus d’un.


Le 01/08/2022 à 08h 34

Freeben666

Le petit infogérant (ou toute autre entreprise en charge de données) qui réussit à se faire hacker deux fois d’affiler il mérite un peu d’insécurité. Surtout quand il s’agit de données sensibles telles que des données médicales.



Et pas que les petits d’ailleurs. Une amende de 200% du CA annuel pour la deuxième fuite de données sensibles ça en calmerait plus d’un.


Tu confondrais pas chiffre d’affaire et bénéfice ? Parce que 200% du CA, autant fermer la boite.


loser Abonné
Le 01/08/2022 à 10h 51

Gamble

Tu confondrais pas chiffre d’affaire et bénéfice ? Parce que 200% du CA, autant fermer la boite.


En plus là c’est une mutuelle, donc sans but lucratif. C’est à dire que l’amende, c’est les adhérents qui la paieraient.


Freeben666 Abonné
Le 01/08/2022 à 11h 54

Gamble

Tu confondrais pas chiffre d’affaire et bénéfice ? Parce que 200% du CA, autant fermer la boite.


Non je ne confond pas ;-)



Quand une boite est incapable de sécuriser son infra au minimum, pas sûr qu’elle mérite de continuer à exister.


Le 01/08/2022 à 12h 18

Freeben666

Non je ne confond pas ;-)



Quand une boite est incapable de sécuriser son infra au minimum, pas sûr qu’elle mérite de continuer à exister.


Une petite boite est incapable de gérer une amende de 200% de CA alors qu’une très grosse peut s’en sortir en prenant un crédit.
Là tu crées juste une injustice entre les petites et les grosses entreprises.


Freeben666 Abonné
Le 01/08/2022 à 12h 29

Altair31

Une petite boite est incapable de gérer une amende de 200% de CA alors qu’une très grosse peut s’en sortir en prenant un crédit.
Là tu crées juste une injustice entre les petites et les grosses entreprises.

Les grosses boites auront toujours les reins plus solides qu’une petite, ce n’est pas pour autant qu’il ne faut rien faire. Et même un grosse boite, 200% de son CA à payer, pas sûr qu’elle survive (je parle pas de mastodontes comme MS ou Amazon).



Amende à assortir d’une interdiction à traiter des données personnelles pendant X années, ça serait pas mal.


cyp Abonné
Le 01/08/2022 à 08h 30

gg40 a dit:


Ce serait super délicat de faire ça. Pour les petits infogérants (comme moi) cela mettrai de petites société dans une insécurité qui ne serait pas acceptable. Tous le monde peut se faire pirater même les plus gros.




Je fais de l’infogérance aussi et ce n’est pas vraiment acceptable d’entendre ça.
C’est tout de même pas insurmontable de mettre en place des contrat clair qui définisse les responsabilité entre l’infogérant et le client. Au niveau de l’infogérant si le boulot est fait les risques sont tout de même minime et les assurances existent en cas de problème. Coté client si du l’applicatif/code est fournit par lui, ou un de ces prestataires, il en est responsable et si il décide de continuer a utiliser des produits non maintenu et/ou contenant des failles connues c’est de sa responsabilité (d’autant plus quand il en a été prévenu à plusieurs reprise par son infogérant/client/cnil/…).


Le 01/08/2022 à 08h 59

mais cette dernière « a voulu s’assurer que cette personne était légitime. On a demandé à l’ANSSI, qui ne nous a pas répondu. »




Cela ne me surprends pas… mais d’un autre côté ils auraient pu aussi contacter leur équipe/presta pour vérifier ses dires, car ayant eu affaire à Damien, il fournis suffisamment d’informations pour prouver ses dires.



Je m’informe sur ZATAZ depuis des années, un jour j’ai vu passer un message Twitter de Damien qui interpelait un de mes anciens client. Après l’avoir contacté et m’être rendu rapidement compte qu’il s’agissait du projet sur lequel je travaillais quelques années plus tôt qui était la cible, c’est moi qui ai dû faire le lien entre Damien et le client en question (alors que je ne travaillais plus pour eux…), pour leur expliquer que “Non Damien Bancal n’est pas le pirate” et “oui il y a bien une fuite massive qu’il faut combler au plus vite”.



Tout les mails de Damien étaient passés à la poubelle, car selon le DPO “Oui mais son mail nous paraissait louche”, et ses appels refusés car “non on ne vous connaît pas”


Le 01/08/2022 à 09h 19

Tiens, mon ancienne mutuelle m’a envoyé un mail jeudi pour m’annoncer qu’ils avaient subis un ransomware qui a volé des infos (nom email adresse date de naissance) …. dont les miennes faisaient partie.


Le 01/08/2022 à 09h 28

Alors nous en sommes là ? Un média joue le rôle de régulateur alors que l’ANSSI dont c’est le cœur du métier, d’assurer la sécurité des systèmes d’infos (et de leurs donnés archi sensibles).
Tant mieux pour la précision de la nature de la faille ayant permis pour que cette dernière soit corrigée, choquée du rôle de chacun.


Le 01/08/2022 à 09h 51

de métier*
permis que*
(désolée, tapoté trop vite)


Le 01/08/2022 à 10h 40

“Tout les mails de Damien étaient passés à la poubelle, car selon le DPO “Oui mais son mail nous paraissait louche”, et ses appels refusés car “non on ne vous connaît pas” “



Il a appliqué le B.A BA de la sécurité, j’aurais sûrement fait pareil si j’avais reçu un courriel bancal.


refuznik Abonné
Le 01/08/2022 à 11h 34

Ces courriers ne sont pas bancals généralement. Et comme dit @th3squal ils sont plutôt documenté.



Pour la petite histoire, une ancienne boite m’a contacté un jour pour savoir si je connaissais Damien et zataz, et si on pouvait lui donner crédit. Une fois que je les ais rassuré, ils ont pris leurs dispositions (bête injection sql).


Le 01/08/2022 à 12h 16

refuznik

Ces courriers ne sont pas bancals généralement. Et comme dit @th3squal ils sont plutôt documenté.



Pour la petite histoire, une ancienne boite m’a contacté un jour pour savoir si je connaissais Damien et zataz, et si on pouvait lui donner crédit. Une fois que je les ais rassuré, ils ont pris leurs dispositions (bête injection sql).


Je pense que c’était une blague sur le nom de Damien.
Mais si je reçoit un mail contenant bancal dans son adresse, j’aurais du mal à le trouver crédible.


Le 01/08/2022 à 12h 19

refuznik

Ces courriers ne sont pas bancals généralement. Et comme dit @th3squal ils sont plutôt documenté.



Pour la petite histoire, une ancienne boite m’a contacté un jour pour savoir si je connaissais Damien et zataz, et si on pouvait lui donner crédit. Une fois que je les ais rassuré, ils ont pris leurs dispositions (bête injection sql).



spidermoon a dit:


“Tout les mails de Damien étaient passés à la poubelle, car selon le DPO “Oui mais son mail nous paraissait louche”, et ses appels refusés car “non on ne vous connaît pas” “



Il a appliqué le B.A BA de la sécurité, j’aurais sûrement fait pareil si j’avais reçu un courriel bancal.




ahah j’ai ri désolé…



Blague à part! Qu’un mail passe à la poubelle je comprends clairement la méfiance. Qu’un mail, plus appel téléphonique passe à la trappe, de mon point de vue on se documente un peu sur le profil du gars, voire on avise le presta pour prendre les devants s’il s’agit d’une tentative plus osée ! On ne classe pas l’affaire si rapidement…



Tu as de la chance, ils t’on appelé! De mon côté, heureusement que j’avais lié amitié avec certaines personnes qui travaillaient encore sur place, ça à aidé à la démarche, car le DPO/DSI était tout aussi incrédule de m’entendre que de voir le mail de Damien, alors que 2ans auparavant j’étais dans leurs locaux. Il a fallu que je leur montre l’étendue de la faille, pour qu’au final ils me disent : “Vous pouvez tout désactiver?” :reflechis:



Par chance (ou inconscience) ils n’avaient même pas résilié mes accès… :transpi: :censored:


Le 01/08/2022 à 18h 21

Néanmoins, cette Mutuelle aurait pu se renseigner très vite fait sur Damien Bancal, son site web ZATAZ et ses activités. C’est d’une inculture et d’une paresse absolument inadmissible ! Les conséquences sont lourdes pour les clients…


gendy54 Abonné
Le 02/08/2022 à 15h 10

La blague est validée.
Cela étant, même moi qui ne suis pas dans l’IT, je connais Damien Bancal.
Faut arrêter de se trouver des excuses.


swiper Abonné
Le 01/08/2022 à 11h 00

On ne peut pas savoir quelles failles ont été utilisées alors il serait bien de se garder d’avoir un point de vue moralisateur sur l’affaire. C’est bien malheureux pour cette mutuelle mais surtout pour les assurés.
La CNIL va faire son travail et sanctionnera d’ici quelques temps assurément.



Il est tout à fait possible que l’accès au SI ait subsisté après les premières mesures mises en place. Certaines failles ne sont pas visibles avant longtemps sauf à faire du forensic et ça, ça coûte du pognon que certaine PME ne sont pas prêtes à dépenser.


fred42 Abonné
Le 01/08/2022 à 11h 07

C’est une mutuelle santé. Elle se doit donc de protéger particulièrement les données personnelle qu’elle traite.



Si elle n’a pas les moyens de le faire, qu’elle arrête ou fusionne avec une autre mutuelle plus grosse qui, elle, a les moyens.



Et sa façon de traiter l’alerte est assez désinvolte.


Le 01/08/2022 à 11h 25

fred42

C’est une mutuelle santé. Elle se doit donc de protéger particulièrement les données personnelle qu’elle traite.



Si elle n’a pas les moyens de le faire, qu’elle arrête ou fusionne avec une autre mutuelle plus grosse qui, elle, a les moyens.



Et sa façon de traiter l’alerte est assez désinvolte.


Comment veux-tu qu’elle traite ces données vu que manifestement c’était déjà pas son serveur… :D


Le 01/08/2022 à 18h 22

fred42

C’est une mutuelle santé. Elle se doit donc de protéger particulièrement les données personnelle qu’elle traite.



Si elle n’a pas les moyens de le faire, qu’elle arrête ou fusionne avec une autre mutuelle plus grosse qui, elle, a les moyens.



Et sa façon de traiter l’alerte est assez désinvolte.


Je suis d’accord à 100%.


Freeben666 Abonné
Le 01/08/2022 à 11h 57

StefiXYZ a dit:


alors que l’ANSSI dont c’est le cœur du métier, d’assurer la sécurité des systèmes d’infos (et de leurs donnés archi sensibles)




Ce n’est pas le rôle de l’ANSSI de gérer la sécurité d’entreprises privées.


Le 01/08/2022 à 14h 23

th3squal a dit:


Par chance (ou inconscience) ils n’avaient même pas résilié mes accès… :transpi: :censored:




Négligence coupable, non ? :sm:


Le 01/08/2022 à 16h 27

Dans une certaine mesure oui, il ne semblent pas maîtriser leurs chaîne de sous traitance…


Winderly Abonné
Le 01/08/2022 à 14h 32

Une fois je peux comprendre, deux, il y a un souci.


Winderly Abonné
Le 01/08/2022 à 14h 35

(quote:2086619:Boris Vassilieff)
A quand de lourdes amendes pour défaut de sécurisation ? Ah non, c’est juste bon pour le particulier qui configure mal sa box, pas pour les entreprises qui disposent de SI c’est open bar
les ayant droits




Le peuple lui, peut se brosser.


Winderly Abonné
Le 01/08/2022 à 14h 42

th3squal a dit:


…Tout les mails de Damien étaient passés à la poubelle, car selon le DPO “Oui mais son mail nous paraissait louche”, et ses appels refusés car “non on ne vous connaît pas”




J’imagine qu’ils ne sont pas les seuls à fonctionner ainsi.


Le 01/08/2022 à 14h 50

fry a dit:


ça dépend, le pare-vapeur fait partie de la prestation de base ou c’est une options (…)
note que c’est pas forcément le couvreur qui aurait du prendre la décision de mettre un pare-vapeur…




Dans le bâtiment, y’a toujours un DTU pour formaliser les “règles de l’art”… et sur lequel s’appuyer en cas de non conformité si qqun décide de faire des économies.


Le 01/08/2022 à 14h 52

th3squal a dit:


Tout les mails de Damien étaient passés à la poubelle, car selon le DPO “Oui mais son mail nous paraissait louche”




Le mec se nomme “Bancal” aussi, ça aide pas!!! :mdr2:


fred42 Abonné
Le 01/08/2022 à 14h 56

Et sa fiche wikipedia fait un peu peur.


Winderly Abonné
Le 01/08/2022 à 15h 16

fred42

Et sa fiche wikipedia fait un peu peur.


Quand on lit le chapitre “Procès de Zataz à la suite de la plainte de Forever Living Products” on se demande si il se défend mal ou si il y a un autre problème.


Freeben666 Abonné
Le 01/08/2022 à 15h 43

Winderly

Quand on lit le chapitre “Procès de Zataz à la suite de la plainte de Forever Living Products” on se demande si il se défend mal ou si il y a un autre problème.


Il y a un autre problème. Il y a plusieurs affaire dans le genre, comme l’affaire Bluetouff par exemple.


Le 01/08/2022 à 16h 38

Winderly

Quand on lit le chapitre “Procès de Zataz à la suite de la plainte de Forever Living Products” on se demande si il se défend mal ou si il y a un autre problème.


Le problème de ce genre de recherche, c’est qu’elles sont à la limite du légal. Pour identifier les entreprises piratées, il doit avoir accès a la faille, et la documenter pour une potentielle plainte à la CNIL. Il souhaite avant cela informer l’entreprise, et lui laisser une chance de gérer la crise et déclarer elle même à la CNIL. Sauf que parfois ça coince…



S’il déposait plainte tout de suite à la CNIL il n’aurait pas ce genre de soucis… Et les sociétés concernés auraient une obligation de réussite !



Parfois, les sociétés qu’il contacte corrigent la faille sans en référer à la CNIL ni informer les personnes concernées, elles se mettent elle même dans l’illégalité ! Du coup il faut un alibi quand ils se font chopper, tout trouvé !


Le 01/08/2022 à 17h 40

(reply:2086619:Boris Vassilieff)



(quote:2086619:Boris Vassilieff)
A quand de lourdes amendes pour défaut de sécurisation ? Ah non, c’est juste bon pour le particulier qui configure mal sa box, pas pour les entreprises qui disposent de SI c’est open bar




défaut de sécurisation, selon les échos entendus, c’est 10% du CA, par la CNIL.
si tu suis nextinpact, ya quelques mois une compagnie aérienne britannique était en défaut là dessus..


SebGF Abonné
Le 02/08/2022 à 05h 18

Freeben666 a dit:


Non je ne confond pas ;-)



Quand une boite est incapable de sécuriser son infra au minimum, pas sûr qu’elle mérite de continuer à exister.




Et si demain cela arrive à ton entreprise ? Aura-t-elle le droit de continuer d’exister ou bien devra-t-elle fermer et mettre tous ses salariés au chômage ?




spidermoon a dit:


“Tout les mails de Damien étaient passés à la poubelle, car selon le DPO “Oui mais son mail nous paraissait louche”, et ses appels refusés car “non on ne vous connaît pas” “



Il a appliqué le B.A BA de la sécurité, j’aurais sûrement fait pareil si j’avais reçu un courriel bancal.




Si le responsable sécurité d’un ancien contexte où j’ai travaillé avait eu cette réaction, nous n’aurions été informés que bien plus tard d’une fuite de credentials utilisateurs sur Internet. Et pas de la façon la meilleure pour le coup. C’est un comportement irresponsable que d’ignorer une alerte sans un minimum d’analyse.


Le 02/08/2022 à 06h 20

Freeben666 a dit:


Ce n’est pas le rôle de l’ANSSI de gérer la sécurité d’entreprises privées.
Non c’est juste l’agence nationale de la sécurité de l’information. Ils sont aussi là pour préconiser aux DSI ou aux intégrateurs de services, les règles de l’art.
Alors que CheckNews reste un média.



Freeben666 Abonné
Le 02/08/2022 à 08h 16

SebGF a dit:


Et si demain cela arrive à ton entreprise ? Aura-t-elle le droit de continuer d’exister ou bien devra-t-elle fermer et mettre tous ses salariés au chômage ?




Dans le cas d’une boite qui traite des données personnelles sensibles et ne les sécurise pas correctement, oui, il faudrait qu’elle ferme. C’est triste pour les employés, mais les boites qui coulent par l’incompétence de quelques-uns, il y en a plein. Et c’est bien beau de penser aux employés, mais les gens qui voient leurs données sensibles fuiter dans la nature, on y pense ?


Freeben666 Abonné
Le 02/08/2022 à 08h 20

StefiXYZ a dit:


Non c’est juste l’agence nationale de la sécurité de l’information. Ils sont aussi là pour préconiser aux DSI ou aux intégrateurs de services, les règles de l’art.
Alors que CheckNews reste un média.




Ce qu’ils font. Il y a plein de guides sur le site de l’ANSSI pour les DSI qui s’intéressent à la sécurité informatique de leur entreprise.



Après si les décideurs dans les entreprises accordent plus de crédit à un média inconnu qu’à une agence gouvernementale, ça les regarde…


Lol.
Des bras cassés ces informaticiens, c’est vraiment un des domaines de la technique où c’est courant et accepté, voire devenu la regle de l’art, de fournir un boulot de merde, sans cadre, sans norme, sans regles et sans contrainte.
Dans b’impirte quelle autre branche de la technique, fournir un travail de merde ainsi une fois, t’es tres mal vu, et deux fois t’es banni du metier


jjo Abonné
Le 02/08/2022 à 10h 35

Tu exagères ! Des normes et des méthodes appliquées consciencieusement il y en a : norme ISO1664 et méthode R.A.C.H.E pour citer les plus connues.
Blague à part c’est rarement celui qui pisse le code, l’informaticien “de base”, qui définit méthodes, règles, contraintes, tests de qualification, etc. Bien souvent hélas la seule contrainte qu’on lui donne vraiment c’est d’être dans le budget et dans les délais, la qualité passe après. Sans compter que les recruteurs sont de moins en moins regardant sur les profiles à embaucher, le moins cher est le meilleur. Et si on ne trouve pas en France on délocalise en Inde.
Donc d’accord avec ton constat mais pas sur l’entière responsabilité des informaticiens dans le “fournir un boulot de merde”.


kd9 Abonné
Le 02/08/2022 à 09h 55

th3squal a dit:


S’il déposait plainte tout de suite à la CNIL il n’aurait pas ce genre de soucis… Et les sociétés concernés auraient une obligation de réussite !




J’ai déjà effectué une plainte a la CNIL pour une fuite de donnée d’un organisme médical, et ils sont vraiment bien. Le process est long et un peu compliqué à comprendre je trouve mais au moins on est tranquille et le suivi est vraiment très pro.


Le 02/08/2022 à 11h 40

La CNIL fait un super boulot la dessus, ils sont de très bons conseils pour gérer ce genre de crises, et sur beaucoup d’autres sujets !


Le 02/08/2022 à 10h 41

loser a dit:


En plus là c’est une mutuelle, donc sans but lucratif. C’est à dire que l’amende, c’est les adhérents qui la paieraient.




On a tendance à appeler mutuelle aussi les complémentaires santé … je ne sais pas si c’est le cas ici


Le 02/08/2022 à 10h 51

yl a dit:


Dans le bâtiment, y’a toujours un DTU pour formaliser les “règles de l’art”… et sur lequel s’appuyer en cas de non conformité si qqun décide de faire des économies.




L’écran sous toiture, et non pare-vapeur, fait l’objet d’un DTU comme le type de tuile … cet écran sous toiture est obligatoire en milieu dit exposé https://www.distriartisan.fr/blog/reglementation-ecran-sous-toiture/


Piradix Abonné
Le 02/08/2022 à 11h 14

C est qu’elle mutuelle ?


fred42 Abonné
Le 02/08/2022 à 11h 20

C’est écrit dans la brève.


Le 02/08/2022 à 14h 28

elticail a dit:


On a tendance à appeler mutuelle aussi les complémentaires santé … je ne sais pas si c’est le cas ici




Normalement, le terme mutuelle désigne un organisme soumis au code de la mutualité.
Il existe des organismes assureurs soumis au code des assurances.
Les 2 types d’organisme font de la complémentaire santé.
D’où des fois la confusion dans l’esprit des gens, mais pas dans l’esprit des actionnaires des organismes assureurs. :non:


Le 02/08/2022 à 18h 19

Thorgalix_21 a dit:


D’où des fois la confusion dans l’esprit des gens, mais pas dans l’esprit des actionnaires des organismes assureurs. :non:




C’est qu’est-ce que je dis :D


Le 03/08/2022 à 07h 42

Je ne faisais que détailler votre commentaire très cher, sans le remettre en cause. :chinois:


Le 03/08/2022 à 11h 25

Thorgalix_21 a dit:


Je ne faisais que détailler votre commentaire très cher, sans le remettre en cause. :chinois:




No problemo, J’avais bien compris d’où le smiley … :yes: