{"id":1134,"date":"2021-02-26T19:33:09","date_gmt":"2021-02-26T18:33:09","guid":{"rendered":"http:\/\/alinea-avocats.eu\/?p=1134"},"modified":"2021-06-15T10:52:22","modified_gmt":"2021-06-15T08:52:22","slug":"defaillance-a-etablir-des-mesures-de-securite-en-temps-utile-et-de-maniere-satisfaisante-face-a-des-cyber-attaques","status":"publish","type":"post","link":"https:\/\/alinea-avocats.eu\/fr\/actualite\/defaillance-a-etablir-des-mesures-de-securite-en-temps-utile-et-de-maniere-satisfaisante-face-a-des-cyber-attaques\/","title":{"rendered":"D\u00e9faillance \u00e0 \u00e9tablir des mesures de s\u00e9curit\u00e9 en temps utile et de mani\u00e8re satisfaisante face \u00e0 des cyber-attaques"},"content":{"rendered":"

La sanction a \u00e9t\u00e9 prononc\u00e9e sur le fondement de l\u2019article 32 du RGPD<\/strong>, qui dispose que \u00ab\u00a0le responsable du traitement et le sous-traitant mettent en \u0153uvre les mesures techniques et organisationnelles appropri\u00e9es afin de garantir un niveau de s\u00e9curit\u00e9 adapt\u00e9 au risque<\/em>\u00a0\u00bb.<\/p>\n

 <\/p>\n

Cette condamnation fait suite \u00e0 une investigation de la CNIL d\u00e9clench\u00e9e par plusieurs dizaines de notifications de violations de donn\u00e9es personnelles, envoy\u00e9es \u00e0 partir de juin 2018, en lien avec un site internet d\u2019e-commerce \u00e0 partir duquel plusieurs millions de clients effectuent r\u00e9guli\u00e8rement des achats.<\/p>\n

 <\/p>\n

Les investigations se sont orient\u00e9es sur le responsable de traitement de ce site et de son sous-traitant, qui \u00e9taient les responsables de la gestion du site web d\u2019e-commerce. Il a alors \u00e9t\u00e9 d\u00e9couvert que plusieurs s\u00e9ries d\u2019attaques par bourrage d\u2019identifiants ou \u00ab\u00a0credential-stuffing<\/em>\u00a0\u00bb avaient eu lieu sur ce site.<\/p>\n

 <\/p>\n

Au regard de la nature de cette pratique<\/strong>, il faut souligner qu\u2019elle est actuellement de plus en plus employ\u00e9e dans le cadre de campagne de cyber-attaque, et consiste \u00e0 r\u00e9aliser, \u00e0 l\u2019aide de logiciels ou de fa\u00e7on manuelle, des tentatives d\u2019authentification massives sur des sites et services web \u00e0 partir de couples identifiants\/mots de passe (g\u00e9n\u00e9ralement, une adresse \u00e9lectronique et un mot de passe).<\/p>\n

 <\/p>\n

L\u2019attaque par bourrage d\u2019identifiants se manifeste alors par une tr\u00e8s forte et soudaine affluence sur le site web vis\u00e9, caus\u00e9e par un tr\u00e8s grand nombre de requ\u00eates envoy\u00e9es simultan\u00e9ment aupr\u00e8s des serveurs d\u2019authentification des clients.<\/p>\n

 <\/p>\n

Elle a pour cons\u00e9quence<\/strong> une atteinte \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es d\u00e9tenues par l\u2019entreprise vis\u00e9e, et peut ainsi facilement entrainer le d\u00e9veloppement d\u2019une mauvaise r\u00e9putation et des pertes \u00e9conomiques<\/u> pour celle-ci. Surtout, ce sont les personnes \u00e0 qui appartiennent ces donn\u00e9es personnelles qui subissent un grand pr\u00e9judice en raison du vol d\u2019informations, qui permet aux malfaiteurs de prendre le contr\u00f4le du compte<\/u> de ces premiers et parfois de faire des achats avec leur carte bancaire \u00e9ventuellement enregistr\u00e9e<\/u>.<\/p>\n

 <\/p>\n

En l\u2019occurrence, les attaques qui ont vis\u00e9 le site web objet de l\u2019enqu\u00eate ont permis aux cybercriminels d\u2019obtenir le nom, pr\u00e9nom, adresse courriel et date de naissance des clients, mais \u00e9galement le num\u00e9ro et solde de leur carte de fid\u00e9lit\u00e9, ainsi que des informations li\u00e9es \u00e0 leurs commandes.<\/p>\n

 <\/p>\n

Le d\u00e9veloppement de ce type d\u2019attaque est d\u00fb \u00e0 plusieurs facteurs<\/strong>\u00a0:<\/p>\n

 <\/p>\n