Une enquête de la BNR montre que diverses organisations, dont la célèbre organisation de voyages Sunweb, la chaîne de bien-être Thermen Resorts et l'agence de casting B&F Casting, sont confrontées à de graves failles de sécurité.
La sécurité numérique des entreprises néerlandaises est à nouveau au centre des discussions après la révélation selon laquelle la porte dérobée numérique est grande ouverte dans au moins cinquante entreprises et organisations néerlandaises. Ainsi, en tant que client de l’une de ces entreprises, ne soyez pas surpris de pouvoir vous attendre bientôt à recevoir un e-mail contenant des excuses. Une recherche de la BNR a révélé que les données privées de milliers de Néerlandais sont en jeu en raison d'environnements cloud insuffisamment sécurisés. Cela va des CV et lettres de candidature aux données clients et aux contrats. Les experts préviennent que ce problème n’est que la pointe de l’iceberg et que le nombre réel de serveurs dangereux et de violations de données est nettement plus élevé.
L'étude montre que diverses organisations, dont la célèbre organisation de voyages Sunweb, la chaîne de bien-être Thermen Resorts et l'agence de casting B&F Casting, sont confrontées à de graves failles de sécurité. Chez Sunweb, par exemple, plus de deux mille CV et lettres de candidature ont été retrouvés Accessible à tous marchandises. Cela était dû au fait que ces documents avaient été mis en ligne par inadvertance lors du déplacement du logiciel de recrutement vers le cloud. Thermen Resorts et B&F Casting connaissent des problèmes similaires, les documents internes tels que les scripts, les briefings et les contrats étant accessibles au public.
Un porte-parole de Sunweb a répondu à la découverte de la violation de données en déclarant : « Les CV et les lettres de candidature ont été immédiatement supprimés. Selon un porte-parole, les fichiers se sont retrouvés accidentellement en ligne il y a environ trois ans lorsque le logiciel de recrutement a été migré vers le cloud.
Le problème des environnements cloud insuffisamment sécurisés est encore exacerbé par le manque de sensibilisation et de connaissances des entreprises elles-mêmes. De nombreuses organisations supposent que la sécurité de l'environnement cloud relève de la responsabilité du fournisseur cloud. Cependant, comme Jeremy van Doorn de la société de cybersécurité Palo Alto souligne que cette responsabilité incombe aux propriétaires des données. Ce sentiment est partagé par Roos Dijkxhoorn, fondateur de Purasec, qui affirme que les entreprises doivent encore apprendre à travailler en toute sécurité avec le cloud.
"De nombreux clients pensent que le fournisseur de serveur cloud est responsable de la sécurité et oublient donc de configurer correctement les choses."
Les révélations ont conduit à des actions rapides de la part des entreprises impliquées. Après avoir été informée par la BNR, Sunweb a immédiatement lancé un plan de gestion de crise et supprimé les documents concernés. Thermen Resorts et B&F Casting ont également pris des mesures pour améliorer la sécurité de leurs données.
Eward Driehuis, président de la communauté de la cybersécurité CSIRT mondial, prévient que les fuites découvertes ne représentent qu'une fraction du nombre réel de serveurs non sécurisés. Selon lui, le problème pourrait être « peut-être mille fois plus important », ce qui souligne l'urgence du problème.
"Les entreprises doivent souvent encore apprendre à travailler avec le cloud."
Cet incident met en lumière un problème croissant dans le monde numérique : la sécurité des données dans le cloud. Alors que les entreprises se tournent de plus en plus vers des solutions cloud pour le stockage et le traitement de leurs données, des incidents comme celui-ci montrent qu'il reste encore beaucoup à apprendre et à améliorer dans le domaine de la sécurité numérique. C'est un signal d'alarme pour que toutes les organisations prennent au sérieux leurs données et la façon dont elles utilisent le cloud et investissent dans des mesures de sécurité robustes.
Sécurité
Un traitement responsable des données personnelles dépend d’une bonne sécurité de ces données. Si la sécurité n'est pas correctement assurée, cela peut par exemple conduire à un datalek. Un traitement responsable des données personnelles dépend d’une bonne sécurité de ces données. Ce n’est pas sans raison qu’il s’agit d’un des 1 principes fondamentaux du Règlement Général sur la Protection des Données (RGPD). L'Autorité néerlandaise de protection des données (AP) surveille la manière dont les organisations sécurisent leur traitement des données personnelles. Si une organisation n’a pas correctement organisé la sécurité, l’AP peut intervenir.
