Un vol de données n’est jamais à banaliser.
Même s’il s’agit de données considérées par certain comme peu sensibles, les informations telles que « noms, adresses, dates de naissance et numéros de téléphone mobile » servent généralement à authentifier des personnes à des fins de sécurité.
N’importe quel cyberbraquage de données personnelles, qui peuvent être valorisées et monnayées sur le marché noir de la cybercriminalité, offre des possibilités sans fin d’usurpation d’identité et d’escroquerie.
Dans le monde numérique, que les services soient payants ou gratuits, la majorité des prestataires de services ont subi des pertes de données clients (Uber a annoncé 57 millions de comptes piratés en 2017 alors qu’en 2016 par exemples, ce furent Yahoo (500 millions), LinkedIn (117 millions) et Dropbox (68 millions d’usagers), alors qu’en 2014 Ebay était concerné pour 145 millions de ses clients).
Ce bref rappel non exhaustif des cas de cyberbraquage de données clients, associé à la récente annonce du vol de données concernant 800 000 clients de Swisscom, autorise trois constats :
- La sécurité des informations des clients est rarement une priorité pour des fournisseurs de service.
- La logique de rationalisation économique, de profitabilité et la course aux bénéfices en rognant sur les coûts, sur l’emploi et en ignorant les besoins de sécurité et de maintenance des infrastructures, rend ces dernières vulnérables. Ce qui est de plus en plus le cas des infrastructures critiques, détenue pour la majorité d’entre elles par le secteur privé.
- La sous-traitance, à des fins d’optimisation financière et de réduction des coûts, se paye toujours en défaut de qualité et de sécurité dont les nuisances sont à la charge du client final.
Souscrire à des abonnements ou à des services semble désormais être équivalent à donner un consentement non éclairé pour un usage abusif, détourné ou criminel de ses données.
Payer cher un service, n’est pas forcément synonyme de protection de ses données.
5 questions que posent généralement un vol des données clients
1 – Quelle est la réelle capacité d’un fournisseur à sécuriser les traitements des données qui lui sont confiées?
2 – Quelles sont les responsabilités et niveaux de transparence d’une chaîne d’acteurs impliqués dans des traitements (Qui est responsable ? Qui contrôle?)
3 – Quelles sont pénalités en cas de défaillance ? (Quels sont les incitatifs à bien protéger les données de ses clients ?)
4- Quel est le devoir d’information aux clients sur l’entière vérité à leur donner en cas de perte, de fuite, de vol de leurs données ?
5- Quelle est la valorisation d’un fichier client ? Comment l’assurer ? Comment réparer le préjudice subi par le client ?
Merci pour ce billet.
Vos 5 questions sont tout à fait pertinentes et j’attend depuis plusieurs jours que Swisscom y réponde…
Je pense que je pourrai attendre encore très très longtemps puisque, selon eux, le seul risque est que quelqu’un me téléphone! Même s’il s’agit d’un numéro que je n’ai jamais communiqué hors de ma famille proche.