Point sur les suites du hacking de Nefilim du 14 juillet dernier
En italique et en jaune : citation de la direction de SPIE INFOSERVICES.
LE COURRIER :
· Pourquoi la copie de la plainte de SPIE n’a-t-elle pas été envoyée avec le courrier ? : le numéro vous sera communiqué et vous permettra de poser de plainte
· Pourquoi le courrier a-t-il été envoyé aussi tard ? (attaque le 14 juillet – départ des courriers le 30 octobre)? : Le temps pour l’expert d’analyser les fichiers
· Pourquoi la formulation utilisée est aussi anxiogène pour le destinataire car elle laisse à supposer que d’autres données ont pu être divulguées ? : La formulation utilisée met l’accent sur ces données sensibles. ( données personnelles fortement identifiantes.: une pièce d’identité, un numéro de Sécurité Sociale, des coordonnées bancaires, c’est-à-dire susceptibles de présenter un risque élevé d’une usurpation d’identité ou d’une fraude, ce qui n’est pas le cas d’autres données qui auraient pu être également copiées, par exemple, l’adresse d’un collaborateur n’est pas une donnée sensible
· Courrier reçu en lettre simple fin octobre, début novembre donc non traité en priorité par la poste (confinement oblige), non recommandé (contrairement aux dires de la direction lors du CSE de septembre), non daté, non signé : Les courriers émis sont des courriers officiels, émis sur papier entête de la société et signés par une personne légitime. Le fait qu’il n’y ait pas de signature manuscrite ne leur enlève pas leur validité. Les courriers ont été préparés et envoyés par publipostage dès que cela a été possible, mais la date exacte d’envoi est incertaine compte tenu du contexte sanitaire
· Pourquoi Mr Balloy et Mr Decosse n’ont-ils pas reçu de courrier en Aout alors que leur adresse postale a été divulguée ? Pourquoi dans les courriers datés du 30 octobre, il n’en n’ait pas fait mention ? : Parce que ce ne sont pas des données sensibles au regard des risques déjà mentionnés
· Est-ce que un autre courrier expliquant la situation et préparant les salariés à recevoir cette lettre a été envoyé aux autres entités ? pas de courrier.
LES SERVEURS :
· Quels serveurs ont été touchés et quelles sont les autres informations susceptibles d’avoir été divulguées ?
· Combien de serveurs ont été attaqués et que contenaient-ils ?
Une réponse globale a été donnée : Des serveurs du groupe hormis les filiales de quelques pays et contenant des documents de gestion interne
LA HOTLINE :
· Hotline qui répond : l’entreprise vous a informé de la fraude sur vos données maintenant c’est à vous de faire les démarches auprès
des organismes concernés (ex : CPAM ou Banque). Quel est l’utilité de cette hotline ? La hotline prodigue que des conseils concrets sur des démarches à effectuer en fonction des besoins de chacun. Les situations particulières sont remontées à Spie Opérations. Dans la grande majorité des cas, les personnes ayant contacté la hotline repartent en étant rassurées sur leur compréhension.
· Qui gère cette hotline ? : Un prestataire externe mandaté par Spie Opérations
· Qui a écrit les réponses types de la hotline ? : Ces réponses sont définies d’un commun accord avec Spie Opérations et le prestataire de la hotline et ont fait l’objet de compléments suite à certains sujets remontés. Elle évolue au fur et à mesure.
LES RESPONSABILITES DE SPIE OPERATIONS :
· Quelles sont responsabilités de SPIE Opérations en cas utilisation frauduleuse des données ayant un impact direct sur le salarié
(usurpation d’identité, d’utilisation de France connect avec le numéro de sécurité sociale, obtention frauduleuse de crédit, etc…) : Spie a une assurance qui permettrait d’indemniser le salarié en cas de préjudice avéré directement lié à la copie des données sur la base de documents justificatifs utiles à l’analyse du dossier. C’est important à savoir. Toute personne qui a un préjudice suite à la copie de données sensibles peut se retourner vers Spie qui pourrait mettre en marche son assurance.
· SPIE Opérations a-t-elle pris une assurance pour couvrir les salariés suite aux divulgations de leurs divers numéros de compte en
banque ou de sécurité sociale alors même qu’elle a la totale responsabilité du piratage des informations et de la sécurité des donnéespersonnelles qu’elle détient ? : Spie dispose d’une assurance qui était déjà en place avant la cyberattaque. Cette assurance permet indemniser le salarié en cas de préjudice avéré directement lié à la copie des données sur la base de documents justificatifs.
· Pourquoi SPIE Opérations détient ce type des informations des salariés de SPIE INFOSERVICES dans ces serveurs ? Les salariés
ont-ils donné leur accord pour cela ? Spie Opérations est la société holding du groupe, certains sujets sont centralisés à son niveau. Elle peut donc légitimement détenir des données de salariés que ce soit pour des communications aux salariés, des actions d’actionnariat, salarié, etc