RGPD : la réaction de Save the Children face à une violation de données


Comment réagir si votre base de données est piratée d’une façon ou d’une autre , et que cette violation concerne des données personnelles ou sensibles ?

Au delà des réponses techniques, la communication auprès des personnes concernées est un sujet important. La CNIL précise les actions à mener en cas de violation des données personnelles (Voir ici sur le site de la CNIL) :

  • Documenter les incidents ;
  • Informer la CNIL ;
  • Dans certains cas, informer les personnes concernées.

L’exemple récent (mai – juillet 2020) de l’ONG Save the Children est un cas d’école

Les parties prenantes

  • l’ONG américaineSave the Children ;
  • Blackbaud, éditeur et hébergeur de la base de données.

L’incident

En mai 2020 Blackbaud est victime d’une attaque de type « ransomware » : Un hacker s’introduit sur un serveur hébergeant des données pour en perturber le fonctionnement ou le bloquer jusqu’à paiement d’une rançon.

  • Interruption du service ;
  • Cryptage des données ;
  • Vol de données.

Blackbaud a payé la rançon, et s’est assuré que les données dérobées ont bien été détruites (le hacker étant supposé être une personne de confiance !)

 

La communication de l’ONG

  • juillet 2020 : envoi d’un email aux contacts (donateurs ou non)
  • Information sur le site (voir ici)

Une information a également été faite sur le site de l’éditeur Blackbaud (voir là).

 

Le détail de l’email d’information

Le contexte, la présentation des parties prenantes 2020-07-29_07h59_23

 

Le détail de l’incident, et les données concernées 2020-07-29_07h59_40

 

Les mesures prises par Blackbaud

  • Paiement de la rançon !
  • Mise en place d’une surveillance accrue

Les mesures prises par l’ONG

  • Changement d’hébergeur

 

 2020-07-29_08h01_13