Dernières actualités : données personnelles

L’Usine digitale

Cybersécurité : Free alerte ses abonnés sur une fuite de données personnelles

L’opérateur Free a envoyé le 2 octobre un e-mail à certains de ses abonnés Freebox, les informant d’une possible fuite de données personnelles. “Nous avons constaté une consultation de vos données personnelles pouvant mener à une perte de confidentialité de certaines de vos informations : nom, prénom, numéro de téléphone, adresse postale”, écrit la filiale du groupe Iliad. Elle affirme toutefois que les mots de passe et coordonnées bancaires ne sont pas concernés par cette fuite de données. L’étendue de la violation de données personnelles n’est pas encore connue, tout comme l’origine de la fuite.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : SFR touché par une fuite de données exposant les IBAN de ses clients

SFR a annoncé le 19 septembre avoir été victime d’un “incident de sécurité” dans les systèmes de sa filiale low-cost RED, entraînant une fuite de données personnelles. Dans un e-mail envoyé aux clients concernés, RED indique qu’il s’agit “exclusivement” des noms, prénoms, numéros de téléphone et adresses, mais aussi, plus grave, de données sensibles comme les IBAN et numéros de terminaux et de cartes SIM. L’incident a impacté un outil de gestion des commandes, et a été détecté le 3 septembre avant d’être corrigé dans la journée. On ignore, pour l’heure, le nombre de clients dont les données ont été subtilisées. Les clients impactés seraient ceux ayant récemment commandé un smartphone ou souscrit à un forfait chez RED.

Disponible sur: usine-digitale.fr

L’Usine digitale

L’Assurance retraite touchée par une fuite de données, 370 000 bénéficiaires concernés

Après Boulanger, Cultura ou encore Truffaut, c’est au tour de la Caisse nationale d’assurance vieillesse d’être victime d’une fuite de données, via un portail destiné aux prestataires de l’action sociale des retraités. D’après l’organisme, les pirates informatiques se sont emparés des adresses et numéros de sécurité sociale de 370 000 bénéficiaires. L’Assurance retraite a en effet annoncé ce 13 septembre dans un communiqué avoir été la cible d’une fuite de données à travers le Portail partenaires de l’action sociale (PPAS), qui gère la facturation des prestataires de l’action sociale des retraités. “Des données personnelles (adresses, numéros de Sécurité sociale, montant approximatif des ressources) relatives à 370 000 bénéficiaires environ ont été compromises”, explique la Caisse nationale d’assurance vieillesse (Cnav).

La Cnav précise que les données personnelles subtilisées sont “pour la plupart anciennes”, ajoutant que certaines personnes concernées sont décédées. Elle insiste sur le fait qu’aucune donnée bancaire, ou relative au paiement, à la retraite ou à la carrière n’a été volée. Les pirates informatiques se sont introduits dans les systèmes en usurpant des comptes de prestataires utilisant le portail. À l’heure où nous écrivons ces lignes, le portail PPAS est toujours inaccessible, renvoyant sur une page de maintenance.

Disponible sur: usine-digitale.fr

L’Usine digitale

L’AP-HP victime d’une panne informatique, des applications internes hors-service

Le CHU d’Île-de-France a été touché par une panne informatique le 3 août au matin en raison d’un défaut électrique sur un prestataire hébergeant une partie de ses serveurs. Les applications internes à certains établissements, les messageries et la téléphonie ont été impactées. Un retour à la normale est attendu ce lundi. Le CHU explique dans un communiqué que la panne informatique est due à un défaut électrique “qui a touché le prestataire en charge de l’hébergement d’une partie de ses serveurs”. La panne chez l’hébergeur est survenue vers 11 h et a été résolue vers 14 h, mais les 38 hôpitaux d’Île-de-France en subissent toujours les effets. L’AP-HP espérait un rétablissement complet dimanche après-midi, avant de reporter le retour à la normale à ce lundi.

Disponible sur: usine-digitale.fr

L’Usine digitale

Trois collectivités territoriales sur dix estiment être en retard en matière de cybersécurité

31% : c’est la proportion de collectivités territoriales françaises qui s’estiment “plutôt en retard” ou “très en retard” en matière de cybersécurité, notamment sur l’exposition au risque cyber et sur la maturité de leur organisation. 36% d’entre elles estiment être à niveau, tandis que 29% s’estiment en avance (24% dans les communes rurales). Des chiffres issus d’une étude menée auprès de 201 élus, directeurs généraux des services, directeurs de cabinet et de service de collectivités territoriales en France, et publiée par la start-up de cybersécurité HarfangLab.

Disponible sur: usine-digitale.fr

Agence du numérique en santé (via Légifrance)

Publication du nouveau référentiel « HDS », c’est-à-dire les règles à respecter pour l’hébergement des données de santé

Le 16 mai dernier, a été publié au Journal Officiel la dernière version du référentiel de l’agence du numérique en santé concernant l’hébergement des données de santé. D’après les évolutions telles que présentées dès décembre 2023 par l’ANS, ette nouvelle version du référentiel de certification HDS permet de :

  • Renforcer de manière progressive la souveraineté des données avec de nouvelles exigences pour renforcer les garanties en termes de protection (voir focus ci-après) ;
  • Clarifier le périmètre des types d’activité d’hébergement – notamment l’activité dite “5” concernant l’administration et l’exploitation, qui faisait l’objet d’interrogations, et sur laquelle un consensus général a été trouvé – et renforcer la transparence des hébergeurs sur les types d’activités sur lesquelles ils sont certifiés ;
  • Préciser l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI.
  • Intégrer dans le référentiel de certification HDS certaines évolutions de la norme ISO 27001.

La publication de cet arrêté approuvant la version révisée du référentiel marque la fin d’une période de 3 mois suivant sa notification à la Commission européenne. Les organismes certificateurs bénéficient désormais d’un délai de six mois pour adapter leur procédure de certification au nouveau référentiel HDS.

Disponible sur : legifrance.gouv.fr

L’Usine digitale

Cyberattaque à l’hôpital de Cannes : les hackers de LockBit publient 61 gigaoctets de données

L’hôpital Simone-Veil, à Cannes, avait été touché le 16 avril par une cyberattaque. Le groupe de hackers LockBit avait revendiqué l’opération et émis une demande de rançon expirant le 1er mai au soir. Ce matin, 61 gigaoctets de données personnelles de patients et d’agents publics (des bilans de santé, psychologiques, …), et de données relatives au fonctionnement de l’hôpital, ont été publiés sur le dark web.

Disponible sur: usine-digitale.fr

L’Usine digitale

Une cyberattaque touche l’hôpital de Cannes, les opérations non urgentes reportées

Selon une information de France 3 relayée par l’Usine Digitale, le centre hospitalier Simone-Veil, à Cannes, est victime d’une cyberattaque paralysant ses systèmes. Une cellule de crise a été activée, et toutes les opérations non urgentes, “n’entraînant pas de perte de chance” sont reportées jusqu’au retour à la normale. “Les professionnels médicaux, non médicaux, logistiques, administratifs et techniques sont mobilisés pour mener les investigations nécessaires”, explique l’hôpital de Cannes. À ce stade, l’établissement de santé parle d’“incident technique”.

Disponible sur: usine-digitale.fr

Yann Gaudin (via Twitter)

🚨 Défaillances de la direction de France Travail en matière de sécurité informatique

La CGT de France Travail s’exprime sur la violation de données, dénonçant « un choix assumé de la Direction de la DSI de ne pas mettre en place les préconisations sécuritaires nécessaire sà l’ouverture de notre SI aux partenaires France Travail« , en ce compris Cap Emploi, à l’origine de la fuite de données. Elle ajoute que « Lors du projet de connexion du partenaire Cap emploi en 2022, une analyse de risque a bien été réalisée en interne. Dans ce rapport il a été identifié, entre autres, le risque suivant :  »Un attaquant usurpe l’identité d’un agent Cap Emploi et accède aux données du SI Pôle emploi via la machine virtuelle » avec un indice d’alerte 4 (maximum). Le rapport préconisait de « Renforcer l’authentification à la machine virtuelle avec un deuxième facteur d’authentification (2FA) conformément aux exigences de l’ANSSI, mais il n’a jamais été mise en place !!« .

Suite à la publication de cette lettre, Guillaume Champeau a annoncé sur Twitter (attention, lien traçé) avoir demandé, via le formulaire de plainte en ligne, à ce que des poursuites sur le fondement de l’article 226-17 du Code pénal soient lancées; cet article condamnant le défaut de sécurisation de données personnelles par cinq ans d’emprisonnement et 300 000 euros d’amende.

Image

Disponible sur: twitter.com (attention, lien traçé)

CNIL

Données personnelles et IA : l’apport des normes ISO/IEC 27701 et 42001

La norme internationale ISO/IEC 27701 décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles. La norme ISO/IEC 42001 est, quant à elle, destinée aux organismes qui fournissent ou utilisent des systèmes d’IA. 

Disponible sur: CNIL.fr

Retour en haut