Close Menu
    S'INSCRIRE A LA NEWSLETTER
    NEWSLETTER
    .
    Sécurité en ligne

    Fuite de données chez Bouygues Telecom : pourquoi les clients ont été prévenus 48h plus tard ?

    La RédactionMaxime Blanc et
    Personne & Bouygues Telecom
    © Aruco + IA

    Le 4 août, Bouygues Telecom a détecté une intrusion dans ses systèmes informatiques. Quelques heures plus tard, l’opérateur alertait les autorités compétentes. Mais il aura fallu attendre le 6 août pour voir Bouygues Telecom communiquer publiquement sur l’incident.

    Sur le même sujet :

    Imaginez vous découvrir un lundi matin que vos données bancaires personnelles viennent d’être dérobées, et lire en même temps un communiqué de votre opérateur sur… ses récents investissements en cybersécurité. Chez Bouygues Telecom, la cyberattaque du 4 août a mis à nu une faille massive et questionné, dans la foulée, l’efficacité de sa propre stratégie cyber, pourtant censée vous protéger. Mais au delà de la faille en elle même, c’est la communication de Bouygues Telecom qui interroge.

    Que s’est-il réellement passé ?

    Selon les premières informations parvenues de Bouygues Telecom dans un communiqué daté du 6 août, une attaque informatique a permis à des individus malveillants d’accéder à une base de données contenant des informations personnelles de clients.

    Les auteurs de la cyberattaque ont ainsi pu mettre la main sur plusieurs informations d’identifications de clients (nom, prénom, adresse postale, adresse e-mail, numéro de téléphone et identifiant client). Pour l’heure, Bouygues affirme que les mots de passe et les données de carte bancaire n’ont pas été compromis. Bouygues Telecom indique dans son communiqué que 6,4 millions de personnes sont touchées par ce piratage.

    Bouygues a-t-il respecté ses obligations légales ?

    Oui, Bouygues Telecom semble avoir respecté le cadre du RGPD. Après l’attaque détectée le lundi 4 août, l’opérateur téléphonique déclare avoir immédiatement mobilisé ses équipes de sécurité et informé l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ainsi que la CNIL (Commission nationale de l’informatique et des libertés), conformément à l’article 33 du RGPD, qui impose un délai maximum de 72 heures après détection pour signaler une violation de données.

    Si Bouygues dispose bien de 72 heures pour alerter les autorités, le timing de 48 heures entre la découverte des faits et la communication publique interroge.

    Pourquoi un délai de 48 heures avant l’alerte aux clients ?

    La réponse à cette question dépend de termes juridique. L’article 34 du RGPD oblige Bouygues à informer ses clients, dès confirmation de l’exposition de données sensibles. Mais selon une notification de l’article 34 du RGPD, il n’y a pas mention d’un délais précis durant lequel, Bouygues Telecom aurait dû informer sa clientèle, ce qui tend à expliquer pourquoi l’opérateur téléphonique à mis 48 heures avant d’en alerter ses utilisateurs.

    Selon la notification, lors d’une violation de données personnelles, le service de traitement en l’occurrence Bouygues Telecom doit alerter les personnes concernées dans les plus brefs délais. Mais au-delà de la conformité juridique, c’est la communication de crise qui pose question. Bouygues n’a pas envoyer d’alerte préventive et aucune mesure claire n’a été communiquée aux abonnés.

    Ce que Bouygues aurait pu mieux faire

    Face à cette attitude qui pose question voici des actions que la marque de téléphonie aurait pu mettre en place pour protéger ses abonnés.

    • Envoyer une première alerte générique dès la suspicion, incitant à la vigilance sans détailler les données en cause.
    • Mettre en ligne un centre de réponse dédié pour centraliser les informations et rassurer les abonnés.
    • Travailler en lien avec les banques partenaires pour détecter toute tentative d’usage frauduleux d’IBAN.

    Comment se protéger si vous êtes client Bouygues ?

    Si vous êtes client de Bouygues Telecom vous êtes sûrement au courant désormais de la situation. Voici donc quelques informations précieuses à connaître pour vous protéger d’éventuelles arnaques :

    • Ne cliquez sur aucun lien suspect reçu par SMS ou e-mail.
    • Surveillez vos relevés bancaires dans les semaines à venir.
    • Activez les alertes de connexion sur votre espace client.
    • Changez vos mots de passe si vous les avez utilisés ailleurs que chez Bouygues.

    Si vous faites partie des abonnés dont l’IBAN a fuité lors de la cyberattaque, sachez qu’un IBAN seul ne permet pas d’effectuer des virements sortants. Mais combiné à d’autres informations, il peut servir à monter des arnaques ciblées.

    Si Bouygues Telecom ne confirme pas la fuite d’IBAN, un rappel visant à alerter les utilisateurs sur les actions à faire et ne pas faire aurait sans été utile. Dans un monde où les intrusions deviennent inévitables, c’est la manière dont une entreprise gère l’après-crise qui fait la différence. Et vous, avez-vous été touché ? Vous êtes abonné chez Bouygues ? Quel regard portez vous sur la communication faites par l’entreprise ? Faites-nous part de votre avis dans les commentaires, ou signalez-nous des arnaques en lien avec cet incident.

    Note : ARUCO n’est pas un service juridique, ni avocat. Pour toute information sur la réglementation applicable, nous vous recommandons de consulter un spécialiste du droit.

    Certains liens de cet article peuvent être affiliés.

    Partager.

    Notre mission est d’offrir à nos lecteurs une information claire, fiable et à jour. Chaque article s’appuie sur une veille rigoureuse de l’actualité, une vérification méticuleuse des sources et une exigence constante de clarté et de précision. Nous nous engageons à publier des contenus utiles, accessibles et vérifiables, afin d’éclairer les enjeux du monde contemporain et d’accompagner chacun dans sa compréhension de l’information.

    AJOUTER UN COMMENTAIRE
    Laisser un commentaire