Pour des manquements en matière de sécurité remontant à 2021, la CNIL vient de sanctionner Dedalus. La Commission nationale de l’informatique et des libertés a effectivement prononcé le 21 avril 2022 une conséquente amende contre la société. Elle lui a reproché d’avoir négligé plusieurs obligations, entraînant ainsi une fuite de données.
En février 2021, le développeur de logiciels Dedalus a subi un piratage informatique. À l’époque, l’Agence France-Presse avait alors signalé l’existence d’une fuite massive de données sur Internet. Sur au moins un forum de discussion, 491 840 noms étaient en effet partagés en libre accès.
Depuis, l’éditeur affirme avoir mené plusieurs recrutements. Et ce, dans les groupes du DPO (délégué à la protection des données) et de sécurité informatique. Des embauches dont de nombreux consultants IT travaillant comme salariés portés auraient pu profiter. Pour rappel, la Définition portage salarial est qu’il s’agit d’une forme d’emploi combinant freelancing et salariat. Grâce à cette association, celle-ci offre les avantages des deux dispositifs (autonomie, protection sociale, etc.).
Les responsables du piratage demeurent non identifiés
Le détournement de données a touché 28 laboratoires dans six départements des régions Normandie, Centre-Val-de-Loire et Bretagne. Après la divulgation de ce cyber-incident, la Commission nationale de l'informatique et des libertés (CNIL) ne s’est pas fait attendre. Quelques jours après l’annonce de la nouvelle, elle a saisi le tribunal judiciaire en référé. Dès lors, le juge avait prononcé la censure de l’accès à la plateforme sur laquelle circulaient les informations volées, en France. Un ordre en ce sens a été émis aux opérateurs d’accès à Internet dans le pays (Bouygues, SFR, Free, etc.).
Les spécialistes avaient vite identifié l’origine de la fuite : un programme vendu auprès de laboratoires par l’entreprise Dedalus Biologie. En revanche, jusqu’à présent, les auteurs de la cyberattaque restent inconnus. Pareil concernant le responsable de la publication des fichiers volés. Le parquet de Paris a lancé des investigations pour hacking. Il les a ensuite remis à la brigade policière experte dans la répression de la cybercriminalité.
La CNIL a délivré une amende à Dedalus
De son côté, Dedalus a été sanctionné d’une amende de 1,5 million d’euros par la CNIL. Le gendarme tricolore des données personnelles a déclaré que ce montant a été fixé :
● Au regard du chiffre d’affaires de Dedalus Biologie d’une part ;
● En tenant compte de la gravité des torts reprochés à la société d’autre part.
Dans un communiqué, l’éditeur a reconnu les défauts retenus par le régulateur et garanti avoir :
● Fortifié ses procédures tant internes qu’externes afin de prévenir de nouvelles fuites ;
● Déployé un vaste programme de formation interne ;
● Adopté toutes les dispositions envisageables visant à détecter d’éventuelles failles dans ses infrastructures IT.
Parmi ces manquements se trouvait entre autres l’absence :
● D’authentification pour se connecter à la partie publique du système informatique ;
● De chiffrement de données sensibles sur le serveur compromis ;
● Etc.
La CNIL a résumé que Dedalus a manqué à beaucoup d’obligations de sécurité sur le plan organisationnel, mais aussi technique. Ceci dans le cadre de travaux de basculement d’un logiciel vers un autre.
