Comment gérer une data breach ? Le cas d'Amazon !


La plus récente violation de données connue par la société AMAZON s’est produite le 6 octobre 2021, lorsqu’un hacker inconnu a divulgué des données sensibles relatives à la société TWITCH, un service de streaming appartenant à AMAZON. 

TWITCH est une plateforme d’e-sport en ligne avec plus de 30 millions de visiteurs quotidiens en moyenne. Elle est devenue très populaire auprès des musiciens et des joueurs de jeux vidéo. 

En octobre 2020, AMAZON avait d’ores et déjà été impliquée dans une autre violation de données lorsqu’un employé mécontent de la Société a divulgué des données clients à un tiers pour la deuxième fois cette année-là. 

Les services web d’AMAZON ont connu de nombreuses brèches au fil des années ce qui nous amène à étudier les conséquences et les moyens pour se protéger de telles violations de données.  

La violation des données sur la plateforme TWITCH

Le 6 octobre 2021, la société TWITCH a connu une importante violation de ses données et des données collectées provenant des utilisateurs de la plateforme. 

La fuite de données comprenait notamment le code source de la plateforme ainsi que la rémunération de certains créateurs du site, toutefois cette violation ne semble pas avoir compromis les identifiants de connexion ou encore les informations de carte de crédit des utilisateurs. 

Le hacker inconnu a posté 128 giga-octets de fichiers divulgués sur un panneau de messages, y compris le code source de TWITCH qui détaille le fonctionnement de la plateforme ainsi que son algorithme de recommandation. 

Au sein d’un article de blog, TWITCH a déclaré que ces données ont été exposées en raison d’une erreur lors de la configuration du serveur de la société et qu’il était prévu de contacter directement toutes les personnes qui ont été touchées par la brèche. 

Par conséquent, TWITCH a bien confirmé la violation et a indiqué que ses équipes travaillaient de toute urgence pour comprendre l’émergence de celle-ci. 

Une fuite aussi importante a entrainé la divulgation d’une quantité importante de données personnelles dont notamment les plans prévus par AMAZON, propriétaire de TWITCH, pour se lancer sur le segment de la vente en ligne de jeux vidéo à télécharger sur ordinateur. 

Pour rappel, l’article 34 de la Loi Informatique et Libertés énonce : 

« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorités y aient accès. »

En l’espèce, la société TWITCH n’a pas permis une sécurité maximale de ses données, et la violation intervenue en octobre 2021 a démontré certaines faiblesses dans le cadre du traitement des données personnelles. 

C’est pourquoi, il apparait primordial de mettre en place toutes les mesures pour se protéger d’une telle fuite de données. 

Comment se protéger des hackers et des cyberattaques?

Plusieurs règles sont appliquées en matière de sécurité informatique afin d’éviter les intrusions notamment l’entrée d’un hacker dans votre système informatique.  Toutefois la mission sans doute la plus importante est de s’occuper du système de protection des données traitées. 

En effet, une société doit être irréprochable dans la sécurisation de ses informations collectées afin de pouvoir limiter au maximum les conséquences néfastes d’une telle violation des données personnelles. 

La Commission Nationale de l’Informatique et des Libertés, ci-après la « CNIL », a rédigé un guide dans le but d’aider les professionnels dans la sécurisation des données traitées. 

Parmi les différents thèmes évoqués au sein de ce guide, il en ressort un point concernant les accès et la gestion des incidents au sein duquel plusieurs précautions élémentaires sont évoqués telles que : 

  • Prévoir un système de journalisation (c’est-à-dire un enregistrement dans des « fichiers journaux » des activités des utilisateurs, des anomalies et des évènements liés à la sécurité. Ces journaux doivent être conserver les évènements sur une période de six mois maximum sauf obligation légale) ;

  • Informer les utilisateurs de la mise en place d’un tel système, après information et consultation des représentants du personnel ;

  • Protéger les équipements de journalisation et les informations journalisées contre les accès non autorisés, notamment en les rendant inaccessibles aux personnes dont l’activité est journalisée ;

  • Examiner périodiquement les journaux d’évènements pour y détecter d’éventuelles anomalies ;

  • Notifier toute violation de données à caractère personnel à la CNIL et, sauf exception prévue par le RGPD, aux personnes concernées pour qu’elles puissent en limiter les conséquences. 


WARNING : Il est interdit d’utiliser les informations issues des dispositifs de journalisation pour d’autres finalités que celles de garantir le bon usage du système informatique et prévenir des éventuelles anomalies rencontrées. 

Comment gérer une violation des données personnelles?

Dans toutes les situations de violation ou fuite de données personnelles, il convient d’une part de documenter l’incident en interne. 

En pratique, la documentation interne doit regrouper les éléments suivants : 

  • La nature de la violation ;

  • Les catégorie et si possible le nombre de personnes concernées par la violation ;

  • Les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;

  • La description des conséquences probables d’une telle violation ;

  • La description des mesures prises ou que vous envisagez de prendre pour éviter que l’incident en question se reproduise. 

Dans l’hypothèse où l’incident constituerait un risque au regard de la vie privée des personnes concernées, il sera nécessaire pour vous de le notifier à la CNIL. 

La notification auprès de la CNIL doit être transmise dans les meilleurs délais à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes. 

Le service de notification est disponible en ligne sur le site de la CNIL à l’adresse suivante : https://notifications.cnil.fr/notifications/index 

 

 

Eu égard aux précisions apportées ci-dessus, il est indispensable de s’entourer de professionnels compétents d’une part du point de vue information bien évidemment mais d’autre part du point de vue juridique. 

En effet, les conséquences d’une telle violation des données personnelles peut entrainer un contrôle de la CNIL sur le respect des modalités du RGPD. Lorsque la société n’est pas en mesure d’assurer la conformité de ses pratiques aux règlements alors une sanction pécuniaire élevée peut être appliquée par la Commission. 


Articles similaires