Fuite chez Ricard : Jaguar ne veut pas payer l'addition
Pointé du doigt par la CNIL, qui lui a adressé un avertissement public pour une faille dans la sécurisation des données personnelles collectées par son site Web, le spécialiste de l'apéritif anisé Ricard a, pour sa défense, expliqué avoir rempli son obligation de moyens, en faisant appel à des professionnels reconnus pour l'hébergement et la gestion de contenus. Un argument qui n'avait pas suffi à radoucir la Commission nationale de l'informatique et des libertés, qui rappelait, dans sa délibération, « qu'en vertu de l'article 35 de la loi Informatique et Libertés, l'existence d'une relation de sous-traitance n'est pas de nature à exonérer le responsable de traitement de ses obligations au regard des données collectées et traitées pour son compte. »
Jaguar : « pas un paramétrage de l'infrastructure »
La rédaction de Silicon.fr a toutefois contacté l'hébergeur de Ricard, la société Jaguar Network. Son responsable de la sécurité des systèmes d'information indique que les failles mises en évidence par la CNIL « sont issues de livraisons applicatives successives » et « n'impliquent pas le socle d'hébergement ». Bref, selon Aurélien Leicknam, « les erreurs de configuration qui ont donné lieu à l'exposition de données sensibles ne relèvent en rien d'un paramétrage du socle d'infrastructure ». Le prestataire explique que sa responsabilité se limite au maintien à jour de l'infrastructure d'exécution, et ne s'étend pas à la maintenance des développements métier de ses clients.
Autrement dit, les défauts de sécurisation mis en évidence par la CNIL trouveraient leur origine dans des erreurs commises par Ricard ou par son éventuel prestataire de gestion de contenus. Signalons que le nom d'un éventuel sous-traitant de ce type ne figure pas dans les mentions légales du site Ricard.com.
La faille persiste
Rappelons que l'inspection de la Commission a permis de montrer que certains répertoires, où étaient stockés plus de 1 000 fichiers contenant des données à caractère personnel, étaient librement accessibles sur le Web. Il suffisait, pour ce faire, d'entrer les URL répertoriées dans le fichier « robots.txt » du site Web, fichier indiquant aux moteurs de recherche les pages à exclure de leur indexation. Les premières mesures de sécurisation prises par Ricard se sont révélées insuffisantes, les répertoires litigieux n'étant certes plus accessibles, mais les fichiers renfermant les données personnelles le demeurant (pour peu qu'on en connaisse l'URL). La société a depuis entièrement comblé ces failles.
A lire aussi :
Protection des données : la Cnil tape sur les doigts de Numericable
Loi Lemaire : la CNIL va-t-elle pouvoir montrer les crocs ?
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Données de santé : la Cour des comptes pointe la frilosité de la CNIL
Crédit photo : LeoWolfert / Shutterstock
Sur le même thème
Voir tous les articles Cybersécurité