Exemples de fuites de données confidentielles graves

Dans notre article sur les outils qui permettent d’assurer la protection des données, nous abordons 5 stratégies simples pour protéger votre entreprise. La mise en place de ces démarches de cybersécurité repose cependant sur la motivation interne à respecter les bonnes pratiques. En la matière, un exemple parlant vaut parfois mieux que de longs discours. Voici quelques exemples de fuites de données confidentielles qui ont ou ont failli mettre à mal la réputation, voire la survie, des sociétés concernées.

Exemples de fuites de données récents

Pas besoin de remonter très loin dans l’historique des exemples de fuite de données pour trouver des cas inquiétants. Ici deux cas américains tout à fait exportables en Europe, avec des conséquences potentiellement plus graves.

Le data leak du groupe médical Shields Health Care Group

En mars 2022, le groupe de centres médicaux américain Shields Health Care Group a vécu une “data leak” – fuite de données – d’ampleur. Les dossiers médicaux, les numéros de sécurité sociale et les noms de près de 2 millions d’usagers ont alors été volés.

Le groupe Shields Health Care Group a révélé avoir subi cette cyber-attaque. La page internet dédiée à cette problématique est intéressante en termes de communication de crise vis-à-vis des parties prenantes. Elle comprend effectivement un retour factuel sur l’événement, les données concernées, les mesures prises et les moyens de contacter la société à ce sujet.

Les pertes clientèles de la Flagstar Bank

Autre exemple de fuite de données, la Flagstar Bank, une des plus grandes banques des Etats-Unis, a elle aussi essuyé une violation de ses données confidentielles en décembre 2022. Cet exemple de fuite de données concerne 1,5 million de clients, et notamment leurs numéros de sécurité sociale et leurs dossiers fiscaux.

Niveau mesures de correction du cyberrisque, la Flagstar Bank a décidé de signaler l’événement auprès des autorités. Elle avait aussi un plan de gestion de cyber crise prêt à l’emploi, qu’elle a déployé. L’entreprise a en outre eu recours à des experts de la cybersécurité externes à sa structure. Elle a également pris le parti d’offrir des services de surveillance et de protection des données personnelles pendant deux ans aux victimes du data leak.

Notez que dans ce cas-ci, la Flagstar Bank a perdu des clients. C’est notamment le cas de la plateforme Kiteworks, anciennement Accellion, une société de cybersécurité qui a été directement touchée par cette fuite de données. En cas d’atteinte à la sécurité de votre infrastructure, les concurrents attirent souvent les clients en mal de réassurance.

L’exemple de la fermeture de Google+ suite à une fuite de données

Vous vous rappelez peut-être du réseau social Google+, ou Google Plus, lancé par le géant américain en 2011. Un réseau qui a dû fermer ses portes en 2018, suite à la fuite des données personnelles de 500 000 utilisateurs. Un bug dans l’interface informatique du réseau social a effectivement permis à des pirates de s’infiltrer dans le système. Ils y ont volé les données d’usagers, mais aussi de leurs “amis”.

Cet exemple de fuite de données relève du cas d’école, tant la réaction de Google lui a été dommageable. La firme constate la cyberattaque en mars 2018.  À l’époque, Mark Zuckerberg est en grande difficulté pour gérer le scandale du vol de données qui se déroule en même temps sur Facebook. Effrayé de subir le même opprobre publique, Google décide de ne pas communiquer sur la fuite de données. Cela lui permet également de contourner d’éventuelles sanctions.

C’est finalement le Wall Street Journal qui révèle l’affaire, imposant à Google de communiquer sur le sujet. En termes de communication de crise, il est difficile de faire pire que de laisser la presse parler à la place de l’entreprise. Cette cyberattaque de Google+ met donc fin au réseau social de la firme américaine, sept ans seulement après son lancement.

Aux Etats-Unis, cependant, la loi fédérale n’impose pas de communiquer sur ce genre de fuite de données personnelles. La situation serait tout autre dans une entreprise française ou européenne. Le Règlement Général Européen pour la Protection des Données Personnelles (RGPD) oblige effectivement à communiquer en cas de data leak. Les sociétés doivent ainsi contacter les régulateurs sous 72h, sous peine de sanctions.

Fuite de données en France : une amende de 1,5 million d’euros pour Dedalus

En France, le cas de la société Dedalus, éditrice d’un logiciel destiné aux laboratoires, fait date. Dedalus a subi une enquête de la CNIL, la Commission nationale de l’informatique et des libertés, suite à la parution, sur un forum, de données sensibles de 500 000 patients. On y trouvait par exemple leurs adresses, noms, groupes sanguins, ou des données confidentielles comme leurs maladies, grossesses, traitements ou données génétiques.

Après enquête, la CNIL relève de nombreux manquements au RGPD. Certaines données confidentielles ne sont pas chiffrées. Accéder au logiciel ne nécessite pas toujours d’authentification. Tout aussi grave : les données ne sont pas effacées automatiquement après migration.

Il ressort de toutes ces fautes de cybersécurité une amende de 1,5 million d’euros pour l’entreprise Dedalus. En avril 2022, le parquet de Paris avait en outre ouvert une enquête pour piratage informatique. Cette enquête est entre les mains d’une force de police dédiée à la cybersécurité.