N’importe quelle entreprise peut être victime d’une fuite de données. Quelques-unes possèdent plus de renseignements que d’autres, et il semblerait que certaines des bases de données divulguées ne possèdent pas d’informations sensibles. Peut-on considérer qu’une fuite est absolument sans danger ? Prenons l’exemple des services de livraison de plats.
Quelles données sont divulguées ?
Précisons immédiatement qu’il est impossible que les services de livraison divulguent les informations de paiement et de cartes bancaires, tout simplement parce qu’ils ne les gèrent pas. Certains utilisent une passerelle de paiement contrôlée par la banque acquéreuse : le numéro de carte est saisi sur le site de la banque et le commerçant ne le voit pas, et il le stocke encore moins. Même si la carte est associée, tout se passe du côté de la banque et le commerçant ne reçoit qu’un identifiant associé.
Néanmoins, les données divulguées par les services de livraison de plats sont généralement plus dangereuses que celles des marchés. La commande passée sur le service en ligne peut être retirée à un point de retrait ou au bureau de poste, alors qu’une commande de plats est toujours remise au client, c’est-à-dire à son domicilie ou son lieu de travail. Il s’agit de données très personnelles qui peuvent permettre d’associer une personne à un numéro de téléphone ou à une adresse physique, et d’avoir un aperçu de ses ressources ou de son comportement.
Quels sont les dangers de ces fuites pour les clients ?
Évidemment, nous ne pouvons rien tirer de positif du fait que toutes ces données personnelles soient accessibles au grand public. Voici les éventuels points négatifs :
- Les potentiels escrocs savent où la victime habite, combien d’argent elle dépense dans la livraison de nourriture, quand elle commande et quels jours elle n’utilise pas le service. Nous avons tous les ingrédients nécessaires pour organiser un cambriolage.
- Certains problèmes domestiques inattendus peuvent apparaître. Par exemple, l’été dernier il y a eu une anecdote sur les réseaux sociaux à propos d’une fille qui avait obtenu une base de données de ce genre et avait découvert que son petit-ami commandait régulièrement des pizzas et les faisait livrer à l’adresse d’une de ses amies. L’histoire ne ‘est pas bien terminée, que ce soit dans un sens ou dans l’autre.
- Ces fuites sont des bases de données toutes prêtes pour les études de marché puisqu’elles permettent de dresser le portrait des consommateurs et de leur envoyer des spams ciblés aux adresses postales connues.
- Ces bases de données contiennent les adresses personnelles et professionnelles. Cela permet à un cybercriminel d’avoir recours à l’ingénierie sociale pour accéder au réseau internet d’une entreprise via un service de livraison au client. Par exemple, l’escroc peut appeler l’employé, lui dire qu’il a gagné un prix et lui expliquer qu’il va recevoir une récompense pour sa fidélité en tant que client : une clé USB avec un programme malveillant. Étant donné que la victime est vraiment cliente du service de livraison, elle n’a pas vraiment de raison de se méfier, surtout si c’est un livreur qui porte l’uniforme de l’entreprise qui lui remet la clé USB.
Quels sont les dangers de ces fuites pour les entreprises ?
Pour une entreprise, ces fuites sont un cas de force majeure qui donne lieu à de nombreux risques en termes de :
- Réputation. Les fuites ne peuvent pas être étouffées puisque les bases de données apparaissent inévitablement sur le Dark Web. En général, les entreprises essaient d’être les premières à communiquer l’incident. Une telle ouverture n’aide pas vraiment puisque les incidents de sécurité ébranlent la confiance des clients et des associés.
- Règlementation. Les régulateurs sont toujours prêts à donner une amende aux entreprises qui ne respectent pas les lois de protection des données personnelles. Le montant de l’amende dépend de la juridiction. L’endroit où l’entreprise est enregistrée peut avoir un impact, tout comme l’emplacement des clients. Par exemple, n’importe quelle entreprise qui offre des biens ou des services à des clients qui se trouvent dans n’importe quel pays européen doit respecter le RGPD.
- Matériel. Les clients se regroupent de plus en plus pour exercer un recours collectif lorsque leurs données sont divulguées, et les tribunaux commencent à se ranger de leur côté. Là encore, les sommes ne sont pas importantes, mais les montants augmentent comme de plus en plus de personnes sont prêtes à engager des poursuites.
Que faire ?
Malheureusement, les clients qui ne sont pas prêts à abandonner définitivement les services de livraison n’ont que peu d’options. Les fuites doivent être envisagées comme un risque inévitable, comme n’importe quel autre, et doivent être évaluées afin d’en atténuer les conséquences. Par exemple, faites livrer vos commandes à des points de retrait, et non à votre domicile. Faites attention aux cases à cocher dans le formulaire de commande, puisque vous pourriez éviter le stockage de votre adresse et de votre numéro de téléphone.
Les entreprises ont plus de possibilités. Elles sont toutes bien connues, mais malheureusement pas toujours pleinement utilisées :
- Limitez l’accès des employés aux bases de données internes qui contiennent des données personnelles.
- Réalisez régulièrement des audits des systèmes de sécurité.
- Ne conservez pas les données personnelles inutiles. Cela signifie que vous permettez à vos clients de choisir quelles données ils souhaitent confier à votre entreprise, et celles qui doivent être immédiatement supprimées une fois le travail terminé.
- Contrôlez minutieusement ce qui se passe au sein de votre infrastructure avec des services de type MDR.