Inutile de reporter la faute sur des tiers, votre entreprise est responsable des failles de sécurité

publié par Bitdefender Enterprise France, le 06 avril 2017

En cas de violation des données de vos clients, il en va de votre responsabilité. Peu importe si votre entreprise a engagé une société tierce pour traiter les données en votre nom, ou si les données étaient stockées sur un serveur Web hébergé par une société à laquelle vous avez fait appel. Vous êtes responsable.

 

 

 

Il est donc complètement vain d’essayer d’imputer la faute aux autres en cas d’incident relatif à des données clients.

 

Effectivement, le fournisseur n'a sans doute pas fait son travail correctement. Il n'a peut-être pas mis en œuvre des mesures de sécurité appropriées et pas assez drastiques, peut-être a-t-il échoué à développer un site Web sûr ou à le garder à jour du point de vue des correctifs.

 

Toujours est-il que c'est votre entreprise qui l'a engagé.

 

Vous lui avez confié, par exemple, les données personnelles de vos clients. Vos clients comptaient sur vous pour gérer leurs données avec la plus grande attention et n'ont certainement jamais été conscients que vous les partageriez avec un tiers.

 

Ces affirmations sont dures et directes, mais elles prennent d’autant plus de poids quand on sait qu’une faille de sécurité a récemment affecté près de 43 000 personnes.

 

 

L'ABTA, l'association britannique des agents de voyage, a révélé dans une déclaration il y a quelques jours, qu'une faille de sécurité avait compromis les données d'environ 43 000 vacanciers.

 

Selon l'ABTA, l'intrusion a eu lieu le 27 février 2017. Les hackers ont exploité une vulnérabilité du site www.abta.com « qui est géré pour le compte d'ABTA par une société tierce de développement et d'hébergement Web ».

 

 

La plupart des 43 000 utilisateurs concernés se sont donc retrouvés dans une situation particulièrement inconfortable par le simple fait d'avoir créé un compte sur le site www.abta.com ou d'avoir rempli un formulaire de réclamation en ligne.

En effet, les adresses e-mail, les mots de passe chiffrés (malgré tout l'intérêt de ces informations, l'ABTA ne précise pas si les mots de passe étaient chiffrés et hachés, l'algorithme de hachage utilisé, ni si les données hachées étaient salées) et les coordonnées de ces milliers de personnes sont donc tombés entre les mains des hackers.

 

De plus, près de 1 000 fichiers contenant des données personnelles téléchargées afin d'appuyer des réclamations à l'encontre d'agents de voyage ont également été compromis.

 

Dans sa déclaration et son e-mail de notification aux utilisateurs, l'ABTA souligne que le serveur Web concerné était géré par « une entreprise de développement et d'hébergement tierce », sans en divulguer le nom.

 

La culpabilité de l’entreprise tierce est sans doute véridique, mais légalement, ce n'est pas un moyen de se dédouaner.

 

Comme le souligne un article de Security Week, au Royaume-Uni, au regard de l'Information Commisioner’s Office (ICO), le responsable du traitement des données (dans ce cas, l'ABTA) conserve son entière responsabilité, même si un sous-traitant était chargé du traitement (l'hébergeur).

 

Bien évidemment, les membres de l’ABTA et tous ceux qui ont partagé des données personnelles sur le site Web de l'ABTA, devraient changer leur mot de passe et s'assurer qu'ils n'utilisent pas ce mot de passe ailleurs sur Internet.

Nous ne pouvons pas faire grand-chose pour inciter les entreprises à faire plus attention aux sociétés auxquelles elles confient les données personnelles de leurs clients. Cependant, nous pouvons au moins essayer d'atténuer l'impact d'éventuelles fuites de données.

Bitdefender Enterprise France

Bitdefender est le spécialiste européen des solutions antimalware. Ses technologies proactives classées n°1 en détection et en prise de ressources par les organismes de tests indépendants protègent plus de 500 millions d’utilisateurs.