Vol de données : Orange s’en tire avec une tape sur les doigts

Suite à la deuxième intrusion malveillante majeure de l’année pour l’opérateur Orange en avril 2014, la CNIL a mené l’enquête. Alors que l’opérateur a constaté "le 18 avril, un accès illégitime sur une plateforme technique d’envoi de courriers électroniques et de SMS qu’elle utilise pour ses campagnes commerciales." Au final, les données de 1,3 million de clients ont été dérobées.
 
Pour rappel la CNIL avait déjà rappelé à l’ordre les opérateurs le 3 février dernier, réaffirmant que les opérateurs doivent depuis 2011, signaler toute faille de sécurité dans les plus brefs délais et conseiller aux clients Orange de mettre à jours leurs données de connexion pour se prémunir de tout piratage. Ce rappel à l’ordre collectif faisait déjà suite à un piratage massif de l’opérateur Orange en janvier.
 
Suite à son enquête sur les faits du 18 avril dernier, la CNIL dévoile que "des lacunes de sécurité ont été identifiées auprès de la société et des sous-traitants intervenant dans le cadre de ses campagnes d’emailing promotionnel."
 
Si Orange soutenait "avoir pris toutes les mesures utiles afin de respecter son obligation de sécurité des données", la CNIL estime que bien qu’ayant "constaté que les dysfonctionnements ayant engendré la faille de sécurité avait été corrigé, plusieurs lacunes en termes de sécurité ont été identifiées et ont justifié l’engagement d’une procédure de sanction."
 
Pour la Commission National Informatique et Liberté, "la société n’a pas fait réaliser d’audit de sécurité" avant l’envoi par son prestataire de sa campagne d’emailing et avait envoyé de manière "non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu’aucune clause de sécurité et de confidentialité des données n’avait été imposée à son prestataire."
 
Au final, la CNIl estime qu’ Orange a "manqué à ses obligations" et prononce à son encontre… "un avertissement public." 
 
Source : Zdnet