la CNIL sanctionne la Fédération Francaise d’Athlétisme

la FFA santionnée par la CNILLa formation restreinte de la CNIL a sanctionné la Fédération française d’athlétisme (FFA) pour des manquements à l’information des sportifs concernant la publication de leurs résultats sur son site internet et à la sécurité et la confidentialité des données.

Elle a ainsi retenu que le fait d’informer les sportifs non licenciés, de la publication de leurs résultats sur le site web de la FFA et notamment de leur droit d’opposition, par l’intermédiaire des différents organisateurs des compétitions, n’était pas impossible et ne constituait pas un effort disproportionné comme l’avait soutenu dans un premier temps la Fédération.

Elle a considéré, en tout état de cause, que la délivrance de cette information aux licenciés comme aux non-licenciés est d’autant plus importante que la diffusion de données sur Internet est considérée comme plus intrusive qu’un moyen hors ligne.

Elle a également indiqué que « la sécurité du système d’information de la FFA, qui comprend environ 1 million de personnes, et de l’espace de l’athlète sur le site web FFA était insuffisante », et qu’il a fallu la procédure de sanction pour que la Fédération mette en place des mots de passe robustes malgré l’accompagnement de la CNIL dans sa mise en conformité.

Au vu de ces éléments, la formation restreinte a prononcé une sanction pécuniaire de 3.000 euros à l’encontre de la Fédération et décidé de rendre sa délibération publique.

Délibération de la CNIL à lire ici

DDos chez EDF: préjudice estimé à 162 000 €

Ddos chez EDFL’actualité de la cyber-criminalité est très fournie. Il ne se passe pas une semaine sans que l’on parle d’un vol de données . Cependant, au contraire des vols “classiques”, il est extrêmement  rare d’avoir une information concernant le montant des préjudices subis. Dans le sinistre décrit ci-après, on découvre combien peut coûter un simple blocage de site.

Le 26 janvier 2012, deux membres supposés d’Anonymous étaient mis en examen dans le cadre d’une enquête sur l’opération Greenrights, et concernant une attaque Ddos chez EDF; une manifestation numérique contre le nucléaire qui avait notamment visé les serveurs d’EDF suite à la catastrophe de Fukushima au Japon.

EDF à portée plainte contre X pour attaque DDoS et avance un préjudice s’élevant à 162.000 euros pour blocage du site edf.com pendant 13h, causant l’impossibilité pour les clients de faire leurs démarches, ce qui a saturé le standard téléphonique.

Kloud, l’un des inculpés, est accusé d’entente et d’entrave à un système automatisé de données, sous la bannière Anonymous en avril 2011. L’opération qui porte le nom d’«Operation Greenrights» était dirigée contre les distributeurs d’énergie nucléaire : General Electric, ENEL, EDF. Elle semble toujours en cours comme l’atteste le site visible ici.

S’il est vrai que pour une entreprise de la taille d’EDF, le montant de ce sinistre est “dérisoire” au regard de son chiffre d’affaire, le coût en terme d’image est sans commune mesure, car il met en exergue la fragilité des mesures de sécurité informatique face à des Cyber-contestataires prêt à tout pour faire entendre leurs messages.

S’il s’était agit de pirates motivés par l’appât du gain, et d’une entreprise de moindre taille, les conséquence auraient certainement été désastreuses pour celle-ci. Peut-être n’aurait-elle pas pu faire face aux coûts que provoque une intrusion (recherche de la faille, correction, communication,réclamation,etc…). Ses assurances dommages traditionnelles excluant ce type de sinistre, elle se serait retrouvé totalement démunie et seule à supporter le sinistre.

Une seule solution s’offre a elle: la souscription d’une cyber-assurance, la seule solution d’assurance prenant en compte les attaques cyber-terroristes.

Pour plus d’information, c’est ici