McAfee et informations confidentielles

Des milliers d’employés de l’éditeur McAfee sont visés par la perte d’informations confidentielles les concernant. Un auditeur externe, du cabinet Deloitte and Touche, a tout simplement oublié dans un avion un cd-rom contenant des données personnelles de plus de 9.000 employés américains et canadiens de la firme de Santa Clara.

Source : Vulnerabilite.com

L’auditeur peu avisé a bien du souci à se faire pour son proche avenir…

Première erreur – Le 15 décembre dernier, l’étourdi a laissé, dans un avion, un cd-rom contenant les noms, prénoms, numéros de sécurité sociale et montants des participations des employés dans leur entreprise. Plus de 9.000 fiches individuelles seraient ainsi dans la nature

Deuxième erreur – Les données n’étaient pas encryptées ! Cela peut sembler aberrant, mais aucune précaution particulière n’avait été prise afin de transporter dans les meilleures conditions ces informations à caractère sensibles.

Troisième erreur – L’auditeur incriminé n’a averti sa direction que le 8 Janvier. Deloitte a informé son client McAfee le 11 Janvier, mais McAfee a dû attendre le 30 Janvier pour savoir ce que contenait réellement le cd-rom perdu. Transferts de responsabilités et peur de perdre un client expliquent la rétention d’information, une attitude qui a réduit les chances de remettre la main sur les données…

Comme dans beaucoup de cas similaires, une suite de négligences est à l’origine de l’incident.

Heureusement pour les employés de McAfee, leur entreprise a souscrit une assurance leur garantissant gratuitement, durant deux ans, un service de surveillance de leurs comptes bancaires (contrats avec Equifax et MacDermott).

Cette affaire s’ajoute à une longue série. Ces douze derniers mois, la Privacy Rights Clearinghouse a comptabilisé pas moins de 53 millions de cas de données personnelles ayant échappé à leurs propriétaires (perte ou vol)

Pourquoi de telles affaires n’arrivent-elle pas en France ? Ne soyons pas naïfs ; il est évident que ce genre d’incidents survient chez nous aussi. Cependant, à la différence de leurs consoeurs californiennes, les entreprises françaises n’ont pas obligation d’avertir leurs clients en cas de pertes ou vol de données personnelles.