Analyse d’une interview sur la cyberattaque concernant une fuite de données chez Decathlon

Je découvre cette vidéo qui me fait réagir et m’a donné l’envie d’en faire un article. Je vais m’en expliquer.

La

Cette vidéo reflète de nombreuses informations comportementales (lire aussi : https://nadinetouzeau.com/analyse-comportementale/) que je n’ai pu m’empêcher d’analyser sans tout vous livrer. Le contexte est relatif à une cyberattaque avec fuite de données détenues par la société Decathlon.

Ainsi, cet article va concerner le comportemental dans le réel et virtuel. Certains penseront qu’on ne peut associer les deux, à tord : l’être humain vit et agit dans les deux environnements. De fait, ce n’est pas la technique qui dirige l’espace virtuel. Pas encore ! Pourtant la cybercriminalité n’est sécurisée quasiment que par la technique.

D’après cet article publié dans Siècle Digital, https://siecledigital.fr/2021/05/24/donnees-personnelles-salaries-decathlon-exposees/, les données personnelles de certains salariés auraient fuitées d’un des prestataires de Decathlon. Analysons cela pour commencer. Les questions qui me viennent à l’esprit sont :
– Pourquoi une partie des données des salariés a fuité et pas les autres? N’y-a-t-il qu’un seul prestataire pour gérer les données salariés? Les données auraient-elles été stoppées avant qu’elles ne fuitent toutes?
– Est-ce uniquement une fuite de données? Ou veut-on masquer autre chose de plus conséquent ne serait-ce qu’en terme d’image?
– Pourquoi avoir choisi un prestataire sans avoir contrôler sa fiabilité de gestion sécurité cyber? Notamment sa gestion de la RDPD?

Ces questions déjà amènent une suspicion que la gestion des données n’est pas sécurisée. Pourtant, les grands pontes en la matière qui interviennent dans toutes les presses, assurent que tout est optimum, géré parfaitement et sous contrôle grâce à des techniques de pointes et des services digitaux dotés des ingénieurs du siècle. Sauf que personne n’est formé à l’humain! Et que ces services ne sont là que pour répondre techniquement. Alors que de nombreuses cyberattaques ne sont que du fait de l’humain (lire aussi : https://nadinetouzeau.com/cybercriminalite-net-profiling/.

Maintenant, analysons la vidéo qui m’a permis de rédiger cet article. Nous n’avons pas franchi les 10 secondes que des « heu » n’ont de cesse d’intervenir dans les propos du journaliste de RT France.

A 0″20, le syndicaliste CFDT Decathlon indique que c’est par la presse qu’ils ont appris la fuite des données. Par la suite, il indiquera qu’il ne dispose d’aucune information ni retour d’information sur cette fuite de données. C’est courant dans les entreprises que les intéressés ne soient informés de rien. Cela me rappelle l’affaire Kerviel concernant la Société Générale pour qui j’étais missionnée à l’époque. En effet, apprenant par la presse ce qui s’était passé (je précise que Jérôme Kerviel a tout mon soutien depuis quelques jours après le lynchage médiatique dont il a été victime), j’ai appelé mes clients qui ont tenu le même discours que ce représentant du syndicat CFDT chez Decathlon. Ce qui veut dire concernant le cas Decathlon que le personnel concerné par cette fuite de données ne peut réagir, se protéger et se défendre face à cette forme de cyberattaque. Mais que font les associations de Défense et protection des données et des victimes de cyberattaque?

Il faut tout de même intégrer que la notion du temps dans le virtuel ne peut se comparer à celle du réel (lire aussi : notion de temps et la cybercriminalité june 2019.pdf). De fait, le temps perdu à se défendre suite à une cyberattaque subit ne peut se rattraper. Tout est plus rapide dans le virtuel. Ainsi, comment les salariés seront protégés des suites de cette fuite de données? C’est très interpelant et même inquiétant.

Le journaliste RT France n’est pas à l’aise dans cette interview. Soit ce n’est pas son sujet et au regard des questions posés, cela est tout à fait clair, soit il a un mal être. A 0″37, un signe évident montre qu’il n’apprécie pas quelque chose, comme si il s’en voulait. Peut-être d’avoir posée une question creuse de sens !

A 0″56 le journaliste commence sa question sur le parallèle avec Facebook, LinkedIn inappropriée pour le syndicaliste ! Le rebond sur la fin de la question est en revanche pertinente. A 1″04, la question posée concernant les clients est bienvenue. Ce qui me fait revenir sur mes premières questions en haut de cet article pour en effet poser la question de pourquoi seulement quelques salariés auraient vu leurs données fuiter sur internet et pas les clients et même toutes les données client-salarié-fournisseur? Donc le prestataire gère quoi et comment? Son recrutement de salarié est-il fiable? Quel profil gère les données?

Téméraire, le journaliste finit l’idée de sa première question en demandant au syndicaliste ce qu’il faudrait faire pour améliorer ce genre d’évènement (il faut vraiment le former à la cyber!). La réponse du syndicaliste n’est pas mauvaise bien qu’incomplète.

La cybersécurité est souvent un copié/collé d’autres entreprises. De fait, les failles sont plus faciles à trouver et à infiltrer. Sachant qu’ils ne se sécurisent, à me répéter, que sur la technique. Je réitère que les cyberattaques ne sont que du fait de l’humain et sans technique peuvent aussi se résoudre. J’en fais suffisamment pour en attester.

L’humain exige qu’il ne faille jamais se sécuriser dans le réel et virtuel que par la technique, à s’en reposer dessus et surtout en faisant de l’identique aux autres. C’est un non-sens pour se sécuriser et défendre. Il faut du sur mesure et adapté à l’entreprise et son environnement.

Cette vidéo m’a fait réagir afin de montrer que la cybercriminalité n’est pas réellement comprise par de nombreux corps de métier et surtout abordée que sur la technique. Qu’un journaliste aborde la question ainsi c’est un peu limite face à la gravité des faits. Comment la population peut comprendre par la suite qu’il faut faire attention à bien se protéger dans l’espace virtuel? Enfin, les concernés sont les derniers informés. Quand on sait la rapidité qui se pratique dans le virtuel, c’est délirant de raisonner encore ainsi.

Pourquoi l’entreprise Decathlon n’a pas communiqué dessus de suite? Très probablement par ce qu’ils ont besoin de temps pour préparer leur discours qui amoindrira la réalité. Je suis une ancienne de la communication qui a travaillé dans des grands groupes. Et je connais les ordres qu’on avait. Ne surtout pas affoler les gens donc minimiser ou mentir sur la réalité!

Pour conclure, la RGPD était une bonne idée, incomplète et visiblement pas vraiment respectée et appliquée. D’autant que, ainsi que je l’avais dit bien avant son officialisation, la mention de devoir indiqué informatiquement comment on gère la RGPD est une belle clé d’invitation à faire une intrusion pour les cybercriminels.

Nadine Touzeau
Analyse Comportementale, Profiler, Net-profiler, Chercheuse en Comportements des Cybercriminels

Toute reproduction partielle ou totale n’est pas autorisée sans accord de l’auteur.

Un commentaire sur “Analyse d’une interview sur la cyberattaque concernant une fuite de données chez Decathlon

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s