Tweets by TwitterDev " />

Digitec breach: "Selon nos connaissances actuelles, seules les données de clients de 2001 à maximum la mi-2014 sont potentiellement touchées."  Ah, ouf... nous voilà rassurés !  

Cet incident de sécurité  a ceci d'intéressant qu'il  :

  1. Démontre, contrairement à ce que l'on aimerait croire, que la fuite de données n'arrive pas qu'aux géants américains de l'internet.
  2. Met en évidence que ce sont des clients qui ont révélé le problème, et non pas les mesures de sécurité internes.
  3. A permis aux hackers de profiter de l'ancienne boutique (toujours ?!?) en ligne pour s'approprier des données.  "La faille de sécurité a, entre temps, été corrigée" annonce Digitec .
  4. Rappelle que l'entreprise avait également été la cible d'attaques de phishing en août et septembre dernier grâce à des identifiants volés. (C'est clair qu'avec une durée d'exposition de 13 ans, les hackers ont eu à l'évidence tout loisir de tester!)
  5. Est nécessaire de soigner sa communication en cas d'incident.

En l’occurrence, on peut regretter que la communication fournie soit alarmiste. "Des escrocs possèdent les coordonnées de clients" nous dit le titre, mais le communiqué n'offre pas de solution concrète pour les personnes concernées. En outre, même si ce genre d'exercice reste très difficile, il est important de se limiter uniquement aux faits . "nous avons des raisons de croire... " "nous supposons qu'aucun mot de passe n'a été transmis" "nous supposons que les escrocs on pu accéder à certains comptes" "d'après nos recherches..." "nous estimons que..." sont des formulations alambiquées qui contribuent à alimenter l'incertitude et le sentiment de manque de maîtrise. 

A MEDITER

Mon propos n'a pas pour objectif d'être critique envers digitec. Je suis persuadé qu'ils ne sont ni meilleurs ni pires que l'immense majorité des entreprises suisses en ce qui concerne la protection de l'information.  Ce que je veux néanmoins souligner, c'est l'importance du sujet et son impact pour les personnes concernées. 

Le renforcement législatif en matière de protection de données a justement pour objectif d'inciter les entreprises à plus de vigilance dans le traitement des données de leurs clients. Ce n'est pas pour pénaliser l'économie ni pour entraver la marcher des affaires que les exigences de sécurité augmentent. Mais simplement pour enfin mettre en oeuvre des bonnes pratiques de gouvernance de l'information avec comme but ultime la protection d'un actif devenu essentiel dans un monde toujours plus digitalisé:
le Client numérique.