Les factures des clients d’une entreprise de fournitures de bureau accessibles en ligne de manière non sécurisée
Résumé d’incident no 8
Incident
Deux clients d’une entreprise de fournitures de bureau ont signalé au Commissariat qu’ils pouvaient accéder aux factures électroniques des autres clients sur le site Web de l’entreprise simplement en modifiant une séquence de quatre chiffres figurant dans l’adresse Web de leurs propres factures.
Après que les clients lui eurent fait part de leurs préoccupations, l’entreprise a choisi d’aviser les personnes touchées de l’atteinte à la sécurité de leurs renseignements personnels en affichant sur le forum Web d’une tierce partie sa réponse à ces préoccupations. Le Commissariat a réclamé des avis plus efficaces à l’avenir ainsi que la désignation d’un agent de la protection des renseignements personnels.
Résultat
Après avoir pris connaissance de l’incident et en avoir discuté avec le Commissariat, l’entreprise a pris plusieurs mesures pour réduire le risque qu’un tel incident se reproduise. Ainsi, elle a cessé d’envoyer les factures dans des courriels de nature générale (exigeant plutôt que les clients utilisent une procédure de connexion sécurisée pour accéder à leurs factures); elle associe désormais un code aléatoire unique à chaque facture électronique; elle met à l’essai des procédures nouvelles et améliorées pour évaluer toutes les fonctions en ligne; et elle a nommé un agent de la protection des renseignements personnels qui sera chargé de surveiller et d’approuver toute utilisation des données des utilisateurs.
Observation finale
Même si la cause première est de nature technologique, on a constaté de nombreuses lacunes organisationnelles susceptibles d’avoir contribué à l’incident. L’absence d’une surveillance exercée par un agent de la protection des renseignements personnels désigné connaissant bien les pratiques de traitement des renseignements personnels au sein de l’organisation pourrait aussi avoir joué un rôle. Qui plus est, le fait que l’organisation connaissait mal le processus d’avis aux personnes touchées a empêché d’atténuer de façon appropriée les risques découlant de l’incident pour ces personnes. En réaction à cet incident et sur notre insistance, l’organisation a pris de vastes mesures non technologiques pour s’attaquer à la cause de l’atteinte à la vie privée.
- Date de modification :