L’agence de travail Das Team de Bâle a été victime de cyberattaque avec fuite de données personnelles et entretiens RH sur le darknet.
Les cyberattaques ne sont malheureusement pas un phénomène nouveau en Suisse, ni ailleurs dans le monde. La situation décrite ci-dessus, où des conversations privées entre les ressources humaines (RH) d’une entreprise et un employé se retrouvent exposées sur le darknet, soulève d’importantes questions en matière de protection des données personnelles.
Comme le mentionne l’article de 20 Min référencé ci-dessous, l’entreprise Das Team, une importante agence de travail temporaire bâloise, a subi en février dernier une attaque menée par le groupe de hackers Black Basta. Ces derniers ont alors rendu publiques environ 190 gigaoctets de données volées, comprenant des audios d’entretiens liés à des litiges RH ainsi que des informations personnelles d’employés telles que le nom, l’adresse, l’email et le numéro de téléphone.
Parmi toutes les données exposées sur le darknet, on y trouve au moins 2 entretiens de candidats enregistrés à leur insu lors d’entretien de recrutement. Un employé dont la conversation a été enregistrée et divulguée a indiqué n’avoir pas été mis au courant, ni donné son accord pour cet enregistrement. Pour rappel, la Loi sur la protection des données nLPD interdit explicitement l’enregistrement de conversations privées sans le consentement des parties concernées.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Du côté de l’entreprise, Claudio Suter, le PDG de Das Team, soutient qu’aucun processus de la société n’implique d’enregistrer des discussions. Il admet cependant l’existence d’un cas «isolé et malheureux» d’enregistrement, laissant sous-entendre que d’autres cas pourraient exister. Suite à cet incident, l’entreprise s’est engagée à mettre davantage l’accent sur la question de l’enregistrement des conversations, en plus de la sensibilisation déjà pratiquée auprès des employés concernant la protection des données.
Pourquoi les données volées par les ransomware gangs sont-elles publiées sur le darknet?
Les données volées par les gangs de ransomware sont souvent publiées sur le darknet pour plusieurs raisons :
- Intimidation et pression: La publication des données volées sert souvent de levier pour forcer les victimes à payer la rançon. Les organisations craignant les répercussions en termes de réputation ou de litiges légaux peuvent être plus enclines à payer pour éviter la divulgation de données sensibles.
- Monétisation des données: Si la victime refuse de payer, les attaquants peuvent tenter de vendre ces informations à d’autres criminels. Les données personnelles, les informations financières, les secrets commerciaux ou les données sensibles sur le personnel sont particulièrement précieuses sur le marché noir.
- Crédibilité et réputation criminelle: Les groupes de ransomware utilisent parfois la publication de données volées comme moyen de construire ou de maintenir une réputation au sein de la communauté criminelle. Cela peut les aider à attirer des affiliés potentiels et à instaurer la crainte chez leurs futures victimes.
- Dégradation de la confiance dans l’entité visée: En révélant des failles de sécurité et en publiant des données, les cybercriminels peuvent nuire à la confiance des clients, des partenaires et des employés vis-à-vis de l’organisation touchée.
- Preuve de succès: Publier des données sur le darknet peut servir de preuve que le gang de ransomware a bien réussi son attaque, ce qui peut être utilisé pour promouvoir des services de cyberattaque ou pour vanter leur efficacité.
La relative difficulté d’accès et les mécanismes de protection de l’identité propres au darknet créent bien sûr un environnement idéal pour ces activités illégales.
Pour en savoir plus
Enregistré à son insu, son entretien RH finit sur le darknet
Les données d’une agence d’intérim bâloise ont été piratées. Le directeur s’exprime.
(Re)découvrez également:
La nouvelle loi suisse sur la protection des données #nLPD : ce qu’il faut absolument savoir
La Suisse a adopté une nouvelle législation pour renforcer la protection des données personnelles. Elle est entrée en vigueur le 1er septembre 2023 et voici les fondamentaux à connaître.
Les nouvelles mesures de protection des données du PFPDT 🇨🇭️
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié une version révisée de son guide sur les « mesures techniques et organisationnelles de protection des données » (TOM).
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
