Les leçons de l'affaire Swisscom
La gigantesque fuite de données de Swisscom a été découverte lors d'un contrôle de routine. Les cybercriminels se sont servis des droits d'accès d'un partenaire de distribution pour accéder à quelque 800 000 données de clients. Quelles leçons les autres entreprises peuvent-elles en tirer ?
L'expert en sécurité informatique Marc Ruef, spécialisé dans le Darknet et intervenant lors de la journée d'ouverture du salon professionnel de la sécurité, parle d'un super-GAU. Swisscom, en revanche, souligne que le vol de données concerne des "données personnelles non sensibles". Le nom, l'adresse, le numéro de téléphone et la date de naissance de 800 000 clients ont été dérobés, principalement dans le secteur de la téléphonie mobile. Les données sensibles telles que les mots de passe, les données de conversation ou de paiement ne sont en aucun cas concernées par l'incident. Il s'agirait donc en grande partie de données de contact disponibles publiquement ou par le biais de revendeurs d'adresses. C'est peut-être vrai, mais cela laisse tout de même un arrière-goût amer.
Instructions relatives au traitement des données des clients
Selon la Fondation pour la protection des consommateurs (SKS), Swisscom minimise l'incident. Il ne peut pas masquer le fait que des fuites de données se produisent régulièrement et qu'une protection totalement sûre ne peut pas être garantie dans le traitement des données des clients.
L'incident est une occasion suffisante pour rappeler une fois de plus les points les plus importants de la protection des consommateurs, qui sont essentiels dans le traitement des données des clients :
- SécuritéLes entreprises sont tenues d'appliquer la plus grande sécurité possible dans le traitement des données des clients. Cette règle s'applique également lorsque des tiers sont chargés du traitement des données ou lorsque l'accès aux données des clients est accordé à des tiers (par ex. partenaires de distribution).
- Économie des donnéesLes données ne peuvent être stockées/traitées qu'en quantité et dans la mesure où elles sont absolument nécessaires à la fourniture d'un service.
- Transparence et informationIl faut s'assurer que les incidents/fuites sont immédiatement détectés et que les clients concernés sont immédiatement informés.
La protection des consommateurs exige donc une protection des données plus stricte. L'organisation s'engage pour que les bases correspondantes soient intégrées dans la révision de la loi sur la protection des données. Le monde politique n'est apparemment pas conscient de l'importance de cette question, car la révision de la protection des données a été repoussée aux calendes grecques par la Commission des institutions politiques du Conseil national en janvier, critique le SKS.
Qu'a fait Swisscom ?
En tant que mesure immédiate, les accès concernés de l'entreprise partenaire ont été bloqués, écrit l'opérateur télécom. En outre, différentes mesures ont été prises en interne pour mieux protéger l'accès à ces données personnelles non particulièrement sensibles par des entreprises tierces. Cela se traduit notamment par les mesures suivantes :
- Les accès par des entreprises partenaires sont désormais davantage surveillés et, en cas d'activités inhabituelles, une alarme est automatiquement déclenchée et les accès bloqués.
- Les consultations à grande échelle de l'ensemble des données des clients seront désormais techniquement interdites.
- En outre, une authentification à deux facteurs sera introduite en 2018 pour tous les accès aux données nécessaires des partenaires de distribution.
(rs)
