Sécurité & RGPD : la CNIL sanctionne un responsable de traitement et son sous-traitant

La conformité au RGPD est aussi une question de cybersécurité et la responsabilité ne se délègue pas.

Les sanctions

Le 27 janvier 2021, la CNIL annonce avoir  récemment sanctionné un responsable de traitement (RT) et son sous-traitant (ST) :

• 150 000€ pour le premier.
• 75 000€ pour le second.

Ils n’ont pas pris de mesures satisfaisantes pour faire face à des attaques par bourrage d’identifiants (credential stuffing) sur le site web du RT.

Le déroulement

Entre juin 2018 et janvier 2020, la CNIL reçoit plusieurs dizaines de notifications de violations de données personnelles relatives à un site e-Commerce utilisé par plusieurs millions de clients. La CNIL décide donc de mener des contrôles auprès du RT et de son ST gestionnaire de ce site web.

la CNIL constate que le site web en cause avait subi de nombreuses vagues d’attaques de type credential stuffing qui est un type de cyberattaque où des informations de comptes volées consistant généralement en des listes d’identifiants et les mots de passe associés (souvent obtenus de manière frauduleuse) sont utilisés pour obtenir un accès non autorisé à des comptes utilisateurs par le biais de demandes de connexion automatisée à grande échelle adressées à des applications Web (source Wikiepedia)

Le constat de la CNIL, est que des attaquants ont pu avoir accès à de nombreuses informations clients  : nom, prénom, adresse courriel et date de naissance des clients, mais également numéro et solde de leur carte de fidélité et des informations liées à leurs commandes.

Les manquements

La CNIL a donc considéré que les deux sociétés avaient manqué à leur obligation de préserver la sécurité des données personnelles des clients, prévue par l’Article 32 – Sécurité du traitement du RGPD.

En effet, les sociétés ont tardé à mettre en place des mesures permettant de lutter efficacement contre ces attaques répétées. Leur  stratégie de réponse consistant à développer un outil permettant de détecter et de bloquer les attaques lancées à partir de robots a nécessité un an de développement, permettant aux attaques de perdurer pendant ce délai.

La CNIL indique que plusieurs autres mesures à effets plus rapides auraient pu être envisagées, et ainsi empêcher de nouvelles attaques ou atténuer les conséquences négatives pour les personnes concernées, à savoir les clients de ce site Web. Pour information, les mesures rapides indiquées par la CNIL sont :

• la limitation du nombre de requêtes autorisées par adresse IP sur le site web, qui aurait pu permettre de freiner le rythme auquel les attaques étaient menées ;
• l’apparition d’un CAPTCHA dès la première tentative d’authentification des utilisateurs à leur compte, très difficile à contourner pour un robot.

La conclusion de la CNIL est que du fait de ce manque de diligence,  les données d’environ  40 000 clients du site web ont été rendues accessibles à des tiers non autorisés entre mars 2018 et février 2019.

Les conclusions à en tirer

Quels sont les enseignements de ces affaires :

• La sécurité est un pilier fondamental du RGPD, au même titre que le respect des principes fondamentaux juridiques (relatifs aux traitements des Données à Caractère Personnel (DCP) et aux droits des personnes concernées).
• Faire appel à un sous-traitant ne vous dégage pas de vos responsabilité. Il vous incombe d’établir votre politique de sécurité et de veiller à son application par vos sous-traitants.
• Vous devez vous assurer de la qualité et de la conformité de vos sous-traitants.
• Vos sous-traitants, spécialistes, doivent aussi vous conseiller.
• Ne pas hésiter à se faire accompagner par un spécialiste sur les questions de sécurité informatique, RGPD.

Pour conclure et donner mon avis personnel :

• Vous préoccupez de votre conformité RGPD vous permettra d’aborder et d’améliorer votre sécurité.
• Choisissez bien vos sous-traitants et assurez-vous de leur propre conformité.

Et comme vous n’avez peut-être pas toutes les ressources internes pour dialoguer confortablement avec vos sous-traitants, faites-vous accompagner.

Ainsi, vous pouvez vous concentrer sur vos activités à forte valeur ajoutée.

Source : « Credential stuffing » : la CNIL sanctionne un responsable de traitement et son sous-traitant

Crédit photos : >Web vecteur créé par stories – fr.freepik.com