Contactez nous Espace élus Mon compte

Communication suite cyberattaque du SMDEA

Madame, Monsieur,

Le 14 mai 2023, le SMDEA a été victime d’une cyberattaque sur son infrastructure informatique ayant généré une violation des données personnelles.

Conformément à la règlementation en vigueur relative au Règlement Général sur la Protection des Données, l’ensemble des démarches nécessaires à la gestion de cette situation a été réalisé et le syndicat œuvre au bon rétablissement de l’entièreté de ses services.

Au vu des données récupérées par le hacker, nous vous invitons à la plus grande vigilance quant à d’éventuelles tentatives d’escroquerie qui pourraient survenir dans les prochains mois.

Nous vous recommandons notamment d’être particulièrement vigilant(e) face aux courriels, SMS et appels qui pourraient chercher à tirer profit de cette fuite partielle de données (fraude, usurpation d’identité…).

Veuillez trouver ci-dessous une fiche de mesures préventives évoquant de probables conséquences négatives à votre égard, les mesures prises afin de remédier à la violation, ainsi que des recommandations susceptibles d’atténuer les effets de cette intrusion.

La direction est pleinement consciente des conséquences qui peuvent résulter de cette attaque et souhaite assurer à ses abonnés son investissement le plus total quant à la limitation de ses effets.

Pour de plus amples informations ou pour signaler un incident, il vous est possible de contacter notre responsable juridique à l’adresse suivante : j.morereau@smdea09.fr

Je vous prie de croire, Madame, Monsieur, en toute ma considération.

Le Directeur Général des Services, Patrick RESCANIERES

L’événement dont le SMDEA a été victime a entraîné l’accès et la copie d’un nombre limité de données personnelles concernant des abonnés et des propriétaires gérés par le SMDEA.

DONNÉES CONCERNÉES

Les données des personnes concernées sont les noms, les prénoms et les adresses postales.

Et, si ces informations ont été renseignées : adresse mail, numéro de téléphone mobile, numéro de téléphone fixe, date de naissance, Relevé d’Identité Bancaire, SIREN et copie de la Carte Nationale d’Identité.

Les données ainsi récupérées pourraient ainsi être utilisées pour contacter les personnes concernées par courriers électroniques, par SMS ou téléphone, notamment à des fins d’hameçonnage (fishing)*.

Elles pourraient également être utilisées à des fins d’usurpation d’identité**.

MESURES PRISES POUR REMÉDIER À LA CYBERATTAQUE ET ATTÉNUER SES EFFETS NÉFASTES

Le SMDEA instaure depuis 8 ans une politique de sécurité globale de son système d’information. Malgré la modernisation constante de ses équipements informatiques, les différents audits, schémas directeurs, formations des agents, tests d’intrusions… il n’a pas échappé à cette cyberattaque qui visait à compromettre la disponibilité et la confidentialité de ses données.

L’attaque a été confinée dès sa détection, permettant ainsi de sauver une partie de son infrastructure informatique. Plusieurs mesures de sécurité ont été mises en place : restauration du système d’information avant l’attaque grâce à des sauvegardes, changement des mots de passe, durcissement de la sécurité par des nouveaux outils de surveillance.

Le SMDEA, en s’appuyant sur des experts, a pu s’assurer que l’attaquant a été éradiqué de son système d’information et a mis en place les actions nécessaires pour le prévenir d’un nouveau risque, lui permettant ainsi de redémarrer son activité.

*Hameçonnage : Technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations, etc. Le but recherché est de voler des informations personnelles ou professionnelles (comptes, mots de passe, données bancaires…) pour en faire un usage frauduleux.

**Usurpation d’identité : Délit qui désigne l’utilisation d’informations personnelles permettant d’identifier une personne sans son accord pour réaliser des actions frauduleuses. En fonction des informations recueillies, les escrocs peuvent commettre diverses infractions au nom de la victime : ouverture de ligne téléphonique ou de compte bancaire, création de comptes sur les réseaux sociaux, souscription d’un crédit, location de voiture, escroquerie des proches, fausses petites annonces, diffamation, cyberharcèlement, chantage, extorsion… Au-delà du préjudice moral, l’usurpation d’identité peut avoir des conséquences très importantes pour les victimes qui peuvent se voir poursuivies pour des infractions dont elles devront prouver qu’elles n’en seraient pas les auteurs.

RECOMMANDATIONS

  • Ne communiquez jamais d’informations personnelles à des personnes ou organismes que vous n’avez pas authentifiés avec certitude (identité, mots de passe, numéro de sécurité sociale…) par messagerie, par téléphone ou sur Internet, ni de documents d’identité (pièce d’identité, fiche de paie, avis d’imposition, RIB…).
  • Vérifiez les paramètres de confidentialité de vos informations personnelles (numéro de téléphone, adresse de messagerie…) et de vos publications sur les réseaux sociaux pour éviter qu’elles ne soient visibles publiquement.
  • Faites attention à qui vous parlez sur Internet ou par téléphone car les cybercriminels utilisent également les outils numériques (réseaux sociaux, e-mails…) ainsi que le téléphone (SMS, appels) pour se faire passer pour des organismes officiels ou des contacts connus afin de vous dérober des informations personnelles.
  • Vérifiez régulièrement vos relevés de compte bancaire afin d’identifier toute opération anormale.
  • N’ouvrez pas les messages suspects et leurs pièces jointes, et ne cliquez jamais sur les liens provenant de chaînes de messages, d’expéditeurs inconnus ou connus mais dont le contenu est inhabituel ou vide. Vous risquerez d’être infectés par un virus qui pourrait donner accès à vos matériels et aux infos personnelles qu’ils contiennent.
  • Activez la double authentification lorsque le site ou le service le permettent, pour renforcer le niveau de sécurité d’accès à vos comptes et en limiter les risques de piratage.

SI VOUS ÊTES VICTIME D’UN HAMEÇONNAGE

  • Si vous avez malencontreusement communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte : faites opposition immédiatement auprès de votre organisme bancaire ou financier et déposez plainte au commissariat de police ou à la gendarmerie la plus proche.
  • Si vous avez constaté que des éléments personnels servent à usurper votre identité, déposez plainte au commissariat de police ou à la gendarmerie la plus proche.
  • Si vous êtes victime d’une usurpation de votre adresse de messagerie ou tout autre compte, changez immédiatement votre mot de passe.
  • Si vous avez reçu un message douteux sans y répondre, signalez le sur Signal-spam.fr.
  • Vous pouvez également signaler une adresse de site d’hameçonnage sur Phishing-initiative.fr qui fermera l’accès. Pour être conseillé, contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (gratuit).

SI VOUS ÊTES VICTIME D’UNE USURPATION D’IDENTITE

  • Conservez les preuves en votre possession (captures d’écran, messages, adresses Internet, documents…).
  • Signalez l’usurpation d’identité auprès des plateformes sur lesquelles elle a lieu.
  • Déposez plainte pour chaque fait d’usurpation d’identité au commissariat de police ou à la brigade de gendarmerie ou encore par écrit au procureur de la République du tribunal judiciaire dont vous dépendez.
  • Prévenez les établissements bancaires ou financiers dont vous êtes client de l’usurpation d’identité dont vous êtes victime.
  • Si vous avez constaté des débits frauduleux sur votre compte : faites opposition immédiatement auprès de votre organisme bancaire ou financier et déposez plainte au commissariat de police ou à la gendarmerie la plus proche.
  • Faites annuler et renouveler vos pièces d’identité utilisées par les escrocs.
  • Produisez une attestation sur l’honneur à l’attention de tous les organismes qui vous mettent en cause pour justifier que vous n’êtes pas l’auteur des faits reprochés en joignant une copie de la plainte déposée.
  • Contactez la banque de France pour signaler les faits et vérifier si des crédits ont été souscrits ou si un compte bancaire a été ouvert à votre insu.
  • Pour être conseillé, contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (gratuit).