Dernières actualités : données personnelles

ICO (autorité anglaise)

Décision provisoire d’infliger une amende de 6 millions de livres sterling à un fournisseur de logiciels à la suite d’une attaque par ransomware en 2022 qui a perturbé les services du NHS et des soins sociaux

Nous avons provisoirement décidé d’infliger une amende de 6,09 millions de livres sterling à Advanced Computer Software Group Ltd (Advanced), après avoir constaté que le fournisseur n’avait pas pris les mesures nécessaires pour protéger les informations personnelles de 82 946 personnes, y compris certaines informations personnelles sensibles.

Advanced fournit des services informatiques et des logiciels à des organisations d’envergure nationale, dont le NHS et d’autres prestataires de soins de santé, et traite les informations personnelles des personnes pour le compte de ces organisations en tant que responsable du traitement des données. La décision provisoire d’infliger une amende est liée à un incident de ransomware survenu en août 2022, au cours duquel nous avons provisoirement constaté que des pirates informatiques avaient accédé à un certain nombre de systèmes de santé et de soins d’Advanced via un compte client qui ne disposait pas d’une authentification multifactorielle.

En particulier, nous avons provisoirement constaté que des informations personnelles appartenant à 82 946 personnes ont été exfiltrées à la suite de l’attaque. La cyberattaque a fait l’objet d’une large couverture médiatique au moment de l’incident, avec des rapports faisant état de l’interruption de services essentiels tels que le NHS 111, et d’autres personnels de santé incapables d’accéder aux dossiers des patients. Les données exfiltrées comprenaient des numéros de téléphone et des dossiers médicaux, ainsi que des informations sur la manière d’entrer au domicile de 890 personnes recevant des soins à domicile.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

L’AP-HP victime d’une panne informatique, des applications internes hors-service

Le CHU d’Île-de-France a été touché par une panne informatique le 3 août au matin en raison d’un défaut électrique sur un prestataire hébergeant une partie de ses serveurs. Les applications internes à certains établissements, les messageries et la téléphonie ont été impactées. Un retour à la normale est attendu ce lundi. Le CHU explique dans un communiqué que la panne informatique est due à un défaut électrique “qui a touché le prestataire en charge de l’hébergement d’une partie de ses serveurs”. La panne chez l’hébergeur est survenue vers 11 h et a été résolue vers 14 h, mais les 38 hôpitaux d’Île-de-France en subissent toujours les effets. L’AP-HP espérait un rétablissement complet dimanche après-midi, avant de reporter le retour à la normale à ce lundi.

Disponible sur: usine-digitale.fr

Zataz

L’évolution de la cybercriminalité en France : rapport 2024

La cybercriminalité représente une menace croissante pour les institutions, l’économie, et la sécurité des citoyens. Ce phénomène complexe et dynamique nécessite une vigilance constante et une réponse collective. Le rapport annuel 2024 sur la cybercriminalité en France, proposé par le Commandement du ministère de l’Intérieur dans le cyberespace offre une analyse de l’état actuel de la menace et des efforts déployés pour y faire face dans l’Hexagone. Zataz l’a analysé pour vous dans l’article disponible ci-dessous.

Disponible sur: zataz.com

ICO (autorité anglaise)

L’ICO réprimande la Commission électorale après la compromission de ses serveurs à l’occasion d’une cyberattaque

L’ICO a annoncé ce 30 juillet 2024 avoir adressé un blâme à la Commission électorale après que des pirates ont accédé à des serveurs contenant les informations personnelles d’environ 40 millions de personnes.

En août 2021, des pirates ont réussi à accéder au serveur Microsoft Exchange de la Commission électorale en usurpant l’identité d’un compte utilisateur et en exploitant des vulnérabilités logicielles connues dans le système qui n’avait pas été sécurisé. Jusqu’en octobre 2022, soit plus d’un an plus tard, les pirates ont eu accès aux informations personnelles contenues dans le registre électoral, notamment les noms et les adresses. Les serveurs ont été accédés à plusieurs reprises à l’insu de la Commission électorale.

L’enquête a révélé que la Commission électorale n’avait pas mis en place les mesures de sécurité appropriées pour protéger les informations personnelles qu’elle détenait. En particulier, elle n’a pas veillé à ce que ses serveurs bénéficient des dernières mises à jour de sécurité. Les correctifs de sécurité pour les vulnérabilités exploitées lors de la cyberattaque ont été publiés en avril et mai 2021, plusieurs mois avant l’attaque. La Commission électorale n’avait pas non plus mis en place de politiques suffisantes en matière de mots de passe au moment de l’attaque, de nombreux comptes utilisant encore des mots de passe identiques ou similaires à ceux attribués à l’origine par le service desk.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Escroquerie aux données bancaires en période estivale : comment se protéger ?

Régulièrement, la CNIL communique sur des violations de données inspirées d’incidents réels qui lui sont notifiés. Cette publication a pour objectif de permettre à tous les professionnels de comprendre et de prévenir les risques de violation de données. La façon de procéder présentée dans ce document reflète l’organisation mise en œuvre par le responsable de traitement ayant servi d’inspiration à ce cas d’usage.

Disponible sur: CNIL.fr

ANSSI

L’ANSSI publie ses recommandations pour l’hébergement des systèmes d’information sensibles dans le cloud

Pour répondre aux enjeux de sécurité liés au cloud, l’ANSSI a développé des recommandations pour l’hébergement dans le cloud qui précise, en fonction du type de système d’information (SI), de la sensibilité des données et du niveau de la menace, les types d’offres cloud à privilégier. Cette série de recommandations constitue un outil d’aide à la décision pour les entités qui envisagent un hébergement cloud pour leurs systèmes d’information de niveau diffusion restreinte, les SI sensibles des opérateurs d’importance vitale et des opérateurs de services essentiels, ainsi que des systèmes d’information d’importance vitale (SIIV).

Il est à noter qu’elle ne s’applique pas aux systèmes d’information classifiés et que tous les systèmes d’information n’ont pas vocation à recourir aux solutions cloud. Elle s’inscrit, par ailleurs, en cohérence avec la doctrine « cloud au centre » de l’État.

Disponible sur: cyber.gouv.fr

L’Usine digitale

Trois collectivités territoriales sur dix estiment être en retard en matière de cybersécurité

31% : c’est la proportion de collectivités territoriales françaises qui s’estiment “plutôt en retard” ou “très en retard” en matière de cybersécurité, notamment sur l’exposition au risque cyber et sur la maturité de leur organisation. 36% d’entre elles estiment être à niveau, tandis que 29% s’estiment en avance (24% dans les communes rurales). Des chiffres issus d’une étude menée auprès de 201 élus, directeurs généraux des services, directeurs de cabinet et de service de collectivités territoriales en France, et publiée par la start-up de cybersécurité HarfangLab.

Disponible sur: usine-digitale.fr

ICO (autorité anglaise)

Déclaration de l’ICO en réponse à la cyberattaque de Synnovis

Le 3 juin, Synnovis, un laboratoire de pathologie qui traite les tests sanguins pour le compte d’un certain nombre d’organisations du NHS (« National Health Service »), principalement dans le sud-est de Londres, a été victime d’une cyberattaque. Le NHS a été informé qu’un groupe de cybercriminels a publié hier soir des données qui, selon eux, appartiennent à Synnovis et ont été volées dans le cadre de cette attaque. La National Crime Agency et le National Cyber Security Centre s’efforcent de vérifier le plus rapidement possible les données contenues dans les fichiers publiés.

Nous comprenons que les gens puissent être préoccupés par cette affaire et au fur et à mesure que de nouvelles informations seront disponibles grâce à l’enquête complète de Synnovis, le NHS continuera d’informer les patients et le public sur cette page web. Un service d’assistance téléphonique a été mis en place pour répondre aux questions. Dès que nous aurons plus d’informations sur la fuite de données et sur la nature de ces données, nous les publierons d’abord sur cette page. Les patients doivent continuer à se rendre à leurs rendez-vous et à accéder aux soins urgents comme d’habitude.

En réaction, un porte-parole de l’ICO a déclaré :
« Bien que nous continuions à enquêter sur cette affaire, nous sommes conscients de la sensibilité de certaines des informations en question et de l’inquiétude qu’elles ont pu susciter. « Nous conseillons vivement à toute personne préoccupée par la manière dont ses données ont été traitées de consulter notre site web pour obtenir des conseils et de l’aide, ainsi que de visiter le site web de NHS ».

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Zataz

Fuite pour la marque Zadig et Voltaire

Il y a quelques jours, un pirate informatique repéré par le Service Veille ZATAZ a mis en vente la base de données de ce qui semble être des informations internes clients de la marque de mode française Zadig & Voltaire. Le pirate, il signe sous un pseudonyme d’un personnage de manga Japonais, indique avoir volé les informations en novembre 2023. Parmi les 638 726 dossiers clients exposés, le pirate affirme que les informations compromises incluent les noms des clients, les adresses email, les numéros de téléphone, les adresses de livraison, les dates de naissance et le sexe.

Disponible sur: zataz.com

eWatchers

Les noms et coordonnées des 700 000 clients du vendeur @LeSlipFrancais dérobés suite à une cyberattaque.

Le 16 avril 2024, la société de prêt-à-porter LE SLIP FRANÇAIS a informé ses clients qu’un « un acte de malveillance informatique » avait eu lieu et que « certaines de [leurs] données personnelles ont malheureusement été volées par des hackeurs ». Les données concernées par cette fuite de données sont : les noms et prénoms des clients, les numéros de téléphone, les adresses e-mail et postales et, parfois, les numéros de commande.
Les circonstances exactes de cet incident ne sont pas connues, ni son éventuel lien avec la plateforme Shopify, qui est manifestement utilisée par la société.

Disponible sur: ewatchers.org
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut