publicité

Le Clusif, un club de pros de la sécurité, expose par erreur son annuaire interne


Sécurité : Le Clusif a annoncé hier dans un communiqué qu’un incident avait exposé par erreur plusieurs documents contenant les données personnelles de ses membres. Celles-ci étaient directement récupérables via une recherche sur le moteur de recherche Bing.

Le Clusif (Club de la Sécurité de l’Information Français) a laissé traîner des documents en accès libre sur son site web, documents qui ont notamment été indexés par le moteur de recherche Bing. Selon le Canard enchaîné, 2200 fiches appartenant à des membres de ce club rassemblant des décideurs et responsables de la sécurité informatique étaient accessibles directement sur le web.

 

La bévue fait désordre : le Clusif compte en effet parmi ses membres de nombreux responsables de la sécurité informatique appartenant à des groupes importants ou des entreprises très en vue. Le Canard enchaîné évoque ainsi le responsable de la sécurité informatique de la présidence de la république parmi les données ayant été exposées, ainsi que celles de responsables de plusieurs entreprises sensibles (OIV) telles que EDF ou encore Ercom.

Contacté par filappea.us, Jean Marc Gremly, président du Clusif, explique que la brèche signalée par le Canard enchaîné a été colmatée « en moins d’une heure » mardi après son signalement. Il s’agissait de l’annuaire interne de l’organisation, qui comptait 699 membres. L’investigation sur les répercussions de cette exposition de données ainsi que sur l’ancienneté de la faille est toujours en cours, mais dans un communiqué, l’organisation précise qu’il s’agit ici « d’une erreur humaine dans la gestion de leur site internet ». Détail intéressant, la maintenance du site web du Clusif est assurée par Bearstech, le même hébergeur que celui du site du Canard enchaîné.

Pas du meilleur effet

Jean-Marc Gremly précise au passage que ces données ne contenaient pas d’identifiants ou de mots de passe, mais des informations de contact : adresses, numéro de téléphone, nom et prénom de la personne chargée de représenter l’organisation au sein du Clusif. Le dirigeant explique néanmoins ne pas avoir d’informations concernant les 1500 « fiches » supplémentaires évoquées par le Canard Enchaîné, qui mentionne également une fuite de données concernant les inscrits à une formation dispensée récemment. « Le Clusif ne dispense pas directement de formation à proprement parler » rappelle ainsi Jean Marc Gremly.

Le club explique avoir déjà contacté la CNIL afin de signaler cette fuite de données et que celle-ci est traitée avec la plus grande sévérité par l’organisation. Les adhérents se montrent « compréhensifs », mais les permanents du Clusif, au nombre de trois, promettent de mettre les bouchées doubles pour répondre aux interrogations de leurs membres affectés

« Au vu de notre rôle et de notre position dans le milieu de la sécurité informatique, on ne peut pas se permettre de minimiser l’événement » explique ainsi Jean Marc Gremly, qui ajoute que l’organisation se penchera dans les semaines à venir sur les mesures à prendre pour éviter qu’un tel incident ne se reproduise à l’avenir. « On ne veut plus refaire les gros titres du Canard enchaîné », commente le président. C’est en effet le genre de publicité dont le Clusif préférerait sûrement se passer.

A lire aussi :

5 recommandations clés du Clusif pour la sécurisation des TPE

Le CLub de la Sécurité de l’Information Française se penche sur les bonnes pratiques pour sécuriser l'infrastructure des...

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

Connectez vous ou Enregistrez-vous pour commencer la discussion
publicité