Failles de sécurité: la CNIL peut les constater en ligne

Failles de sécuritéJusqu’à présent le gendarme des données personnelles avait 3 solutions pour mener à bien ses enquêtes sur les failles de sécurité: les contrôles sur place, les contrôles sur pièces, ou les convocations. Des moyens pour le moins inadaptés en cette époque d’hyperconnectivitée. La loi sur la consommation, publiée mi-mars  au Journal officiel, et qui prévoit notamment l’introduction des procédures d’action collective (Class Action) en France, intervient également dans d’autres secteurs dont celui celui des pouvoirs de la CNIL. Et pour le coup, lui offre de nouveau moyen en lui  donnant le droit de constater les failles de sécurité en ligne.

Ainsi, grâce à la modification d’une disposition de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, spécialement son article 44 qui définit le pouvoir d’investigation de la CNIL.  celle-ci peut désormais consulter toutes les données librement accessibles. Mieux : elle est en capacité de scruter également les données rendues accessibles par négligence ou suite au piratage par un tiers.

Ce n’est évidemment pas un droit au piratage : la CNIL n’agira que si les données sont librement accessibles. Cependant ce nouveau pouvoir va permettre au gendarme des données personnelles d’adapter son pouvoir d’investigation, pour le rendre plus efficace et réactif dans l’univers en constante évolution du Numérique.

Ce nouveau pouvoir devrait permettre une intensification des contrôles, augmentant ainsi la pression sur les épaules des responsable de traitement des données, déjà sous la coupe de l’article 226-16 et suivant du code pénal*.

Il s’agit en tout cas d’un nouvel argument prônant l’utilité des assurances Cyber. Un contrôle n’est pas simple à gérer quant on n’y est pas préparé. Les questions et investigations de la CNIL sont techniques, et les réponses font appel à des spécialistes juridiques et informatiques. Les assurances Cyber, en mettant a disposition des spécialistes de la gestion de crise (avocats, consultants, communicants), permettent au responsable du traitement (en général le dirigeant) de réduire les conséquences financières qui en découlent forcement.

Pour  plus d’informations sur les différentes solutions Cyber: 01 77 92 70 00 ou par mail

 

 

NB *”Art. 226-16Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l’objet de l’une des mesures prévues au 2° du I de l’article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.”

 

L’assureur Britannique Staysure notifie 100 000 clients du vol de leurs données personnelles

assurancesStaysure a confirmé que les noms et adresses de presque 100 000 clients ont été volés à l’occasion du hacking de son système d’information. En plus des données nominales, les hackers ont pu récupérer également les données bancaires, les numéros de cartes de crédits ainsi que les numéros CCV (les 3 chiffres au dos des cartes de crédits) des clients ayant souscrits des contrats d’assurances avant mai 2012

Ryan Howsam, PDG de Staysure, indiquait dans une lettre adressé aux 93 389 clients concernés, “avoir  immédiatement engagé des experts en cybersécurité  pour déterminer pleinement l’ampleur du problème”. Cependant les faits tendent à penser le contraire. En effet, alors que l’attaque a été menée en octobre de l’année 2013, la compagnie d’assurances Staysure, n’en a eu connaissance qu’a partir du 14 Novembre, et les premiers clients n’ont été informés qu’un mois plus tard.

On sait pourtant que la réactivité est primordiale pour ce type de sinistre. Réactivité pour colmater la branche. Réactivité pour informer les organismes réglementaires, et réactivité pour informer les autres victimes du vols: les titulaires des données nominatives et des comptes bancaires.

Staysure a-t-elle voulu jouer la montre auprès de ses clients?  Ce qui est certain, c’est que sa responsabilité est engagé dans cette affaire (ne serait ce que par le non respect de la norme PCI DSS qui spécifie expressement de ne pas stocker les numéros CCV,  tout le contraire de ce qui a été fait jusqu’en 2012). Il faut noter cependant que les données étaient chiffrées, les rendant a priori inutilisables, et atténuant ainsi les conséquences désastreuses pour sa responsabilité et son image .

A ce jour, pour dédommager ses clients, et améliorer sa réputation, l’assureur britannique offre un accès gratuit à Data Patrol, un service de monitoring pour les risques de fraude identitaire.

Staysure avait-elle souscrit une assurance Cyber? Tout laisse a penser que non. Avec un contrat Cyber, l’assureur aurait pu réagir immédiatement, dès la connaissance de la violation de données. Le contrat Cyber n’est pas une solution a posteriori, comme la plupart des contrats d’assurances classiques. Il s’agit avant tout d’une offre de services, capable de mettre à disposition de la victimes, des experts informatiques, juridiques, et en communication de crise, qui atténuent les conséquences de l’atteintes aux données.

Avec une hausse constante des attaques des systèmes d’informations, et surtout leurs divulgations auprès du grand public, les entreprises doivent aujourd’hui réfléchir aux impact financiers que ces nouvelles menaces ont sur leurs bilans. Les coûts ne se traduisent plus uniquement en investissements dans des solutions de sécurité onéreuses, mais en chute du cours des actions, en perte d’image et de confiance des clients. Même si l’assurance Cyber ne pourra pas empêcher le hacker de faire des dégâts, elle permettra à minima d’en atténuer les conséquences financières.  Nous avons atteint un point où les violations de données sont inévitables.  Les entreprises doivent non seulement le comprendre, mais surtout prendre les mesures nécessaires pour minimiser les dommages financiers et de réputation que ces événements génères.

Pour de plus amples informations sur les produits d’assurances disponibles, ou pour une étude, contactez nous 

source bbc