Failles de cybersécurité: que faire en cas de fuite de mes données personnelles

De temps en temps, nous nous réveillons à la nouvelle que, après une cyberattaque, les données personnelles de milliers, voire de millions de personnes ont été divulguées. Le dernier, la semaine dernière, lorsque la fuite de données de plus d'un million de clients d'une compagnie de téléphone est devenue connue. Les cybercriminels peuvent extorquer de l'argent à la victime en échange de la récupération de ses données; ou ils peuvent vendre les informations à un tiers, qui les utilise pour lancer des attaques d'ingénierie sociale, par exemple en se faisant passer pour votre banque. Que pouvons-nous faire si nos données sont exposées de cette manière? Existe-t-il des outils pour nous protéger et pour le signaler?

«La première chose à faire est de connaître l'étendue de la fuite», explique-t-il. Francisco Pérez Bès, Associé en droit numérique chez Groupe Ecix et ancien secrétaire général de l'Institut national de la cybersécurité (INCIBE). Car ce n'est pas la même chose "que votre nom d'utilisateur soit perdu en tant que numéro de carte de crédit ou mot de passe de messagerie".

Susana gonzalez, Responsable Technologie, Innovation et Cybersécurité chez Elece juridique, explique que «la grande difficulté réside dans la connaissance du véritable impact de la fuite. La chose logique est que l'entreprise communique la faille de sécurité à l'Agence espagnole de protection des données (AEPD) lorsqu'elle sait, lors de la détermination de l'étendue, qu'il y a eu une fuite de données personnelles. Cependant, cela nécessite souvent une enquête sur ce qui a été publié dans le Deep Web cela demande plus de temps que les 72 heures disponibles pour signaler l'incident ». De plus, en fonction de certains paramètres (typologie des données filtrées ou nombre de personnes concernées, entre autres) l'entreprise a également l'obligation de communiquer cet incident aux propriétaires des données, ce qui implique de devoir étendre la communication à l'Agence conformément avec l'impact réel est enregistré.

Une fois que l'on connaît le type d'informations qui ont été divulguées, nous pouvons prendre les premières mesures réactives pour éviter qu'elles ne soient utilisées à notre détriment (changer le mot de passe ou informer notre institution financière en cas de mouvements suspects).

En ce qui concerne les réclamations possibles, González voit un scénario compliqué pour l'utilisateur. La réglementation prévoit le droit de réclamer une indemnisation pour les dommages-intérêts en cas de violation des droits de protection des données. En cas de faille de sécurité affectant les données personnelles, les exigences établies par le Guide AEPD communiquer l'incident aux parties intéressées et à la société de ne pas le faire; ou il doit être basé sur le fait que l'entreprise ne dispose pas de mesures de sécurité techniques et organisationnelles adéquates pour protéger les données qu'elle traite en fonction de son niveau de risque ou d'évaluation d'impact sur le traitement des données.

Pérez Bes fait la différence entre deux scénarios: si l'entreprise est espagnole, elle est soumise à des mécanismes de protection nationaux et, en principe, "nous pourrions nous plaindre contre cette entreprise pour ne pas avoir fait preuve de diligence dans la protection de nos informations", surtout si elles sont divulguées. Confidentiel. informations personnelles ou sont utilisées pour causer tout type de préjudice. Bien qu'il s'agisse de «procédures lentes et compliquées», il est donc difficile pour le consommateur de vouloir signaler. Si la fuite survient dans une entreprise étrangère, «nous sommes un peu plus impuissants». Et il ajoute qu '«en Europe, on parle de la possibilité d'engager des poursuites collectives contre des entreprises qui subissent des cyberattaques» pour ne pas avoir correctement sauvegardé vos données.

Puisqu'il est pratiquement impossible d'empêcher totalement le vol et la fuite de données, les deux experts s'accordent sur l'importance de prendre des mesures préventives pour minimiser les dommages. En premier lieu, comme le souligne Francisco Pérez Bes, nous devons «être conscients de la valeur et de l'importance des données», car si elles sont perdues ou si quelqu'un y accède, «l'impact peut être grand». Et il faut savoir comment fonctionne l'écosystème numérique, les risques qui existent et connaître les canaux dont les citoyens disposent pour s'informer ou signaler. Concernant les mesures spécifiques, il cite le double facteur d'authentification dans les comptes ou la réalisation de copies de sauvegarde des e-mails ou du mobile. Car en fin de compte, souligne-t-il, "il s'agit de protéger les informations de la même manière que je protège les autres biens matériels corporels".

Susana González se souvient d'autres points simples que l'on oublie parfois: donner le moins de données possible au moins d'entreprises et d'applications; supprimer tout ce que nous n'utilisons pas (demander la suppression de nos données, car il ne suffit pas de désinstaller l'application ou de se désinscrire de la newsletter, par exemple); et modifiez les mots de passe fournis par défaut dans le réseau Wi-Fi et le routeur domestique, en particulier si nous nous connectons de la maison à l'infrastructure réseau de l'entreprise, car les cybercriminels peuvent «sniffer» le trafic du réseau Wi-Fi et accéder aux informations de l'entreprise via notre connexion VPN.

En fin de compte, comme l'indique Pérez Bes, dans ce domaine, nous devons faire preuve « d'un peu de bon sens » et savoir que dans le scénario numérique dans lequel nous opérons, les possibilités de fraude sont différentes et plus grandes. En théorie, nous sommes bien protégés. En pratique, pas tellement. Et le fait est que « même si nous respectons nos obligations, ils peuvent nous attaquer et voler nos données », car « une sécurité à 100 % n’existe pas », souligne González.