Dans la newsletter d’aujourd’hui:

Pour les abonnés gratuits:

• L’édito: “Des fuites de données aujourd’hui intolérables” par Frédéric Simottel

Pour les abonnés payants:

• Études: Paiement de rançons : 92% des entreprises françaises auraient payé.

• La Tribune: “Les 3 mesures à cocher dans la to do list de rentrée des RSSI.”

• A ne pas manquer sur le web: Plainte contre un informaticien trop curieux.

De la boutique en ligne chinoise Temu, au géant de la location de voitures Avis en passant par l’Europe avec les attaques qui ont ciblé le conglomérat espagnol de la mode Tendam ou encore la France avec les failles sur les sites de Boulanger, Truffaut, GrosBill, Cultura ou encore Action.com (cette dernière repérée par le site Zataz), l’été a encore été riche en termes de piratage de données personnelles. Cela constitue une sérieuse piqûre de rappel sur la vulnérabilité de ses informations. C’est aussi l’occasion de pousser un « coup de gueule » sur le manque de protection de certaines organisations.

Des fuites de données aujourd’hui intolérables

La liste est longue des sites de ventes en ligne -et même d’administrations- qui ont encore laissé filer cet été des informations personnelles sur leurs clients et adhérents. Les individus dont les données ont été compromises se chiffrent en dizaines de milliers. Et cela à quelque chose d’inacceptable aujourd’hui.

Si pendant longtemps, les solutions de cybersécurité semblaient ne s’adresser qu’à des spécialistes, c’est loin d’être le cas aujourd’hui. Même un néophyte peut avoir accès à des technologies de premier niveau voire même plus avancées sans pour cela qu’il n’ait à passer des nuits à paramétrer ou des journées à se certifier auprès des éditeurs. Opérateurs télécoms et fournisseurs de cloud ont également à leur catalogue des « trousses de premier secours ». Les excuses de non gestion des ressources ou de manque d’investissement en cybersécurité ne sont plus valables. L’actualité quotidienne regorge de trop d’incidents pour que l’on se désintéresse de la situation. Il est temps de sortir la règle en fer et de taper sur les doigts des entreprises qui sous-estiment les menaces informatiques de façon flagrante.

Sanctionner les entreprises trop négligeantes

Laisser fuiter des informations personnelles sensibles de ses clients doit être sanctionné au même titre que l’on n’aurait pas installé des extincteurs dans les couloirs. Ces entreprises indélicates sont les responsables de la situation. Heureusement d’ailleurs que leurs clients ne se retournent pas -encore- contre elles. Car ne nous méprenons pas, ce sont eux les victimes. Ils paient doublement. Une première fois en achetant le produit ou le service désiré. Celui-ci est censé intégrer dans son prix tous les frais amont de la prestation, dont les coûts informatiques. Mais le client se fait en quelque sorte « facturé » une deuxième fois lorsque ses données fuitent dans la nature suite à une attaque.

La loi est pourtant claire : la responsabilité de la protection des données incombe à celui qui s’occupe de son traitement. Autrement dit la responsabilité cyber en revient aux enseignes. Elles doivent mettre en place des protocoles de sécurité et se conformer aux règlementations en vigueur et notamment le RGPD, parfois oublié ou tout du moins négligé. La cybersécurité dans le traitement des données de masse comme celles de flux e-commerce ne doit plus être une option nécessaire mais une obligation pour tous ces sites. Et pour ceux qui jugent ne pas être en mesure de préserver de façon sûre ces données, il serait temps de leur interdire de faire de la collecte de données massives tant qu’elles ne répondent pas aux exigences réglementaires du RGPD.

...