Weekly Update 466
Mis à jour :
Transparence des Fichiers de Données et Divulgations d’Incidents
Les organisations font preuve d’une réticence notable à identifier les “tiers” responsables de leurs violations de données. Dans le cas de l’incident Allianz Life, les rapports initiaux n’ont pas mentionné Salesforce, malgré l’exposition des données de 1,1 million de clients. De même, la violation de Ticketek, qui a affecté les données de nombreux clients, n’a pas révélé l’implication de Snowflake DB, désigné comme un “fournisseur tiers mondial réputé”.
Les points clés de cet article soulignent :
- Manque de divulgation des tiers : Les entreprises n’identifient pas systématiquement les fournisseurs tiers lorsque des violations de données se produisent en raison de leurs services.
- Attentes raisonnables des clients : Lorsque les données personnelles sont confiées à des tiers, les clients ont une attente légitime de savoir qui a perdu ces données.
- Exemples concrets : Les incidents Allianz Life (impliquant Salesforce) et Ticketek (impliquant Snowflake DB) sont cités comme illustrations de ce manque de transparence.
- Ambigüité dans les communications : La communication concernant les incidents peut être vague, comme le montre l’exemple de Ticketek qui fait référence à un “tiers” sans le nommer.
Vulnérabilités :
L’article ne détaille pas de vulnérabilités spécifiques avec des identifiants CVE. Il se concentre sur le problème de fond de la non-divulgation des tiers dans les déclarations relatives aux violations de données.
Recommandations :
Bien qu’il n’y ait pas de recommandations formelles énoncées, l’article suggère implicitement :
- Accroître la transparence : Les organisations devraient nommer les tiers lorsqu’ils sont impliqués dans des violations de données.
- Améliorer la communication : Les déclarations relatives aux incidents devraient être plus claires et spécifiques quant aux responsabilités.