En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 14/03/2018
    IT Partners, le rendez-vous de la communauté des décideurs du channel IT

    Le rendez-vous de la communauté des décideurs du channel IT français ouvrira ses portes les 14 et…

    en détail En détail...
  • 21/03/2018
    Cloud Computing World Expo et Solutions Datacenter Management

    La 9ème édition de l’évènement phare du Cloud et des datacenters a lieu les 21…

    en détail En détail...
Appels d'offres en cours
  • Création de site Internet vitrine pour une activité de coaching sportif
    < 5 000 €
    > En savoir plus
  • Référencement naturel (SEO) d'un site E-Commerce
    A déterminer €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de prêt-à-porter féminin
    < 1 500 €
    > En savoir plus
C-S_4e trimestre_banniere

Sécurité : la Cnil donne un avertissement à Orange

GlobalK_Lean_pave

Le conseil restreint de la Cnil a prononcé un avertissement à l'encontre d’Orange suite à des lacunes de sécurité observées chez l’opérateur. Elle vient aujourd’hui même de le rendre public.

C’est à la suite d’une violation de données personnelles ayant concerné près de 1,3 millions de clients en avril dernier que la Cnil a décidé d’enquêter. Elle a procédé «  à des contrôles auprès de la société et des sous-traitants intervenant dans le cadre de ses campagnes d'emailing promotionnel.» Si tout semblait avoir été corrigé, la Commission n’en a pas moins constaté « des lacunes en termes de sécurité des données » et a donc engagé une procédure de sanction. Nous vous l’annoncions début mai, cette attaque faisait suite à celle du mois de février dernier qui avait déjà touché 800 000 clients d’Orange. Elle visait une plate-forme technique d'envoi de courriers électroniques et de SMS utilisée pour les campagnes commerciales de l’opérateur. Une attaque permettant aux hackers de récupérer des informations personnelles (nom et prénom, adresse mail, numéro de téléphone, date de naissance) et de mettre en place ensuite des arnaques de type phishing.

Quelles lacunes ont été constatées ?

D’abord, la Cnil remarque qu’Orange n’avait pas fait réaliser d'audit de sécurité avant d'utiliser la solution technique de son prestataire pour l'envoi de campagnes d'emailing. Ensuite, elle lui reproche l’envoi non sécurisé à ses prestataires des mises à jour de ses fichiers clients et met l’accent sur le fait qu'aucune clause de sécurité et de confidentialité des données n'avait été imposée au prestataire. Ainsi, pour la Cnil, « la société a manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l'article 34 de la loi  » Informatique et Libertés «  »

La défense d’Orange

Il est intéressant de noter qu’Orange, pour sa défense, a soutenu que la faille sécurité était due aux risques inhérents à une chaîne de sous-traitance. La Cnil retorque qu’en sa qualité de responsable de traitements, l’opérateur « ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires. ». L’opérateur a également argumenté que les données violées étaient selon lui « peu qualifiantes et limitées au regard du volume global des données traitées ». La Commission a retenu, elle, que ces données étaient « identifiantes », concernaient plus d’un million de clients et qu’il était établi qu’un tiers non autorisé y avait « effectivement accédé ».

Pour lire la délibération dans son intégralité.

 

Auteur : Juliette Paoli

Sécurité : la Cnil donne un avertissement à Orange
Notez cet article

Laisser un commentaire

RGPD : sensibiliser les collaborateurs

Le nouveau règlement européen sur la protection des données (RGPD) s'appliquera le 25 mai 2018. Conscio Technologies propose un parcours de sensibilisation pour les collaborateurs.

Découvrir le programme de sensibilisation

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • E-déchets et obsolescence programmée sous les feux de l'actualité

    E-gaspillage : Apple et Epson font les gros titres, tandis que les déchets électroniques continuent…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expertise - "Les technologies émergentes vont révolutionner la prestation de services online", Rajasekar Sekhar Reddy - Wipro

    Cet article de Rajasekar Sekhar Reddy, Architecte Solution Principal, CTO Office chez Wipro, explique aux…

    > En savoir plus...
Etudes/Enquêtes
  • RGPD : 82 % des consommateurs européens prêts à faire valoir leurs nouveaux droits sur les données personnelles

    Un peu plus de 8 consommateurs européens sur 10 ont bien l’intention de faire valoir…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Arcaneo_Congres DSI 2018_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Sauvegarde et Restauration Informatique pour les PME

    > Voir le livre
  • L'intelligence Artificielle, vraie rupture en cybersécurité

    > Voir le livre
GlobalK_Lean_skycraper