Cyberattaque d’Uber : l'entreprise « n’a pas rempli les formalités réglementaires »

Cyberattaque d’Uber : l'entreprise « n’a pas rempli les formalités réglementaires »
Amexis Nardone, expert en cybercriminalité chez GM Consultant.

Uber, le géant du VTC, a révélé, le 22 novembre 2017, avoir été victime d'une cyberattaque de grande ampleur, un an plus tôt. Au total, 57 millions de comptes utilisateurs ont été piratés. Alexis Nardone, expert-associé manager risques IT de GM Consultant décrypte les failles de ce cas d'école.

Les entreprises se vantent rarement d’avoir été victimes d’une cyberattaque. Pourtant, leur nombre serait en recrudesence avec, en France, 6 entreprises sur 10 concernées l’an dernier. Dans ce contexte, la révélation par la société Uber de quelque 57 millions de comptes utilisateurs dont les données de 600 000 chauffeurs de l’entreprise, piratés sur sa plateforme fin 2016, a éveillé les consciences et, évidemment, suscité un relais médiatique significatif. A la veille de l’entrée en vigueur du règlement général sur la protection des données à caractère personnel (RGPD) qui met les systèmes d'information des entreprises à l'épreuve, ces millions de noms, de numéros de téléphone, d’adresses emails et, crainte majeure, d’empreintes de cartes bleues sortis du serveur de la plateforme de VTC a de quoi affoler le public concerné. La communication ayant eu lieu à la fin de l’affaire, Uber aurait payé aux pirates 100 M$ de rançon pour récupérer et détruire les données.

« Uber n’a donc pas rempli les formalités règlementaires »

Alexis Nardone, expert-associé en charge des dossiers informatiques et cyber de GM Consultant, cabinet d’expertise intervenant pour le compte des assureurs après sinistre, pointe une procédure mal ficelée : « La société Uber, lorsqu’elle est menacée par les pirates ou découvre l’usurpation aurait dû notifier au régulateur la fuite des données ainsi qu’à son assureur. Or, les personnes chargées de la sécurité ont espéré que les sinistres passent sous les radars. L’information a donc circulé au sein d’un groupe limité. Il n’y a aucune assurance, lorsqu’une entreprise négocie avec un pirate, que ce dernier respecte son engagement. Les données ont pu être copiées X fois et revendues au marché noir. Uber n’a donc pas rempli les formalités réglementaires. C’était au régulateur d’enquêter. Ensuite, le fichier dérobé se trouvait-il à un endroit où il n’aurait pas dû être ?Un audit externe doit absolument être diligenté. Aujourd’hui, l’impact sur l’image et le chiffre d’affaires d’Uber est décuplé. Il ne sera pas le même que si la société avait révélé son sinistre immédiatement ». Selon ce spécialiste, il n’est pas impossible que la CNIL sanctionne le géant du VTC.

Emploi

KAPIA RGI

Chef de Projet Assurance-Vie H/F

Postuler

KAPIA RGI

Ingénieur Développement PHP5/ZEND (H/F)

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Proposé par   Marchés Online

Commentaires

Cyberattaque d’Uber : l'entreprise « n’a pas rempli les formalités réglementaires »

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié