Notification d’intrusion informatique chez Orange

Notification OrangeDébut février 2014, l’opérateur Orange notifiait certains de ses clients avoir été la cible d’une attaque informatique visant à dérober des données personnelles. L’attaque détectée, l’accès à la page “mon compte” de l’espace client était rapidement déconnectée. D’après l’opérateur, la notification du vol concerne seulement 3% des comptes (soit tout de même 800 000 clients!).

Conformément aux obligations de l’ordonnance n°2011-1012 du 24 août 20011,relative aux communications électroniques, l’opérateur notifiait les personnes concernées par l’intrusion informatique, qui a eu lieu le 16 janvier dernier, par le message suivant: “Cet incident a consisté en la récupération éventuelle d’un nombre limité de données personnelles vous concernant ou concernant votre foyer. Il peut s’agir de noms, prénoms, adresse postale, adresse mail de contact, numéro de téléphone (fixe ou mobile) ou des informations que vous auriez pu déclarer (composition du foyer, nombre d’abonnements Orange ou concurrents, informations concernant vos préférences de contact)”.

Si de prime abord, tout semble aller au mieux dans le meilleur des mondes, la grande fuite des données personnelles des clients d’Orange, a semble-t-il été la goutte d’eau pour la CNIL qui était en train de sermonner les opérateurs, quand à leur responsabilité envers leurs clients pour protéger leur vie privée.

En effet, l’article 34 bis de la loi du 6 janvier 1978, modifié en 2011 stipule que les fournisseurs de services de communications électroniques doivent obligatoirement notifier à la CNIL toute violation de données personnelles. Si pour sa part, Orange avait bien contacté la CNIL au lendemain de la constatation de l’attaque informatique, soit le 17 janvier, la Commission Nationale de l’Informatique et des Libertés ne semblait pas pour autant rassurée.

On peut effectivement se poser la question des conséquences sur les clients. Les premiers cas de phishing  ont été  déclarés dès la semaine dernière, leurs auteurs cherchant à “profiter” de l’émoi causé chez les clients, en doublant les communications de l’opérateur. 

Mais on peut également se poser la question du coût pour l’opérateur.  Orange devra t-il se défendre pour un quelconque manquement dans la sécurisation des données personnelles que ses clients lui ont confié? La CNIL infligera t-elle une amende? Quel impact sur son image, etc. Autant de questions auxquelles tentent de répondre les cyber-assurances, en apportant une garantie financière immédiate à la première et doublement victime du piratage: l’entreprise elle-même.

Source AFCDP, L’informaticien