Apprendre de l'exemple de la fuite d'informations de 650 000 cas chez Tōken Corp: Gestion de crise et rôle de l'avocat
Le 1er avril 2005 (année 2005 du calendrier grégorien), la loi japonaise sur la protection des informations personnelles a été pleinement mise en œuvre, et les opérateurs qui gèrent les informations personnelles sont tenus de prendre des mesures de gestion de la sécurité. Cependant, les incidents de fuite d’informations personnelles ne cessent de se produire.
En cas d’incident de fuite d’informations, ce qui est particulièrement important, c’est la procédure et la rapidité de la réponse. En particulier, dans les petites et moyennes entreprises qui n’ont pas de personnel spécialisé en sécurité de l’information, il peut être difficile de décider rapidement comment réagir.
Par conséquent, sur la base de la réponse de la société Tokken Corporation à l’incident de fuite d’informations, nous expliquerons le système de gestion de crise en cas de fuite d’informations.
Résumé de la fuite d’informations
Voici les principales informations concernant la fuite d’informations due à un accès non autorisé survenue chez la société Tōken Corporation :
- Date de l’incident : du 20 août au 12 septembre 2020 (24 jours)
- Date de découverte : 20 octobre 2020
- Cause : Un accès non autorisé à un serveur contenant diverses informations d’utilisateurs à partir du site Web du groupe
- Personnes concernées : Les personnes ayant contacté le site de l’entreprise du groupe, les membres, les candidats à diverses campagnes
- Informations : “Adresse e-mail”, “Nom”, “Adresse”, “Numéro de téléphone”, “Mot de passe”, “Sexe”, “Date de naissance”, etc.
- Nombre de cas : Il y a une possibilité de fuite d’informations pour un total de 657 096 informations personnelles
Détection d’accès non autorisé et premières mesures
Le 20 octobre 2020, la société Tōken Corporation a découvert un accès non autorisé à son site web “Nasurak Kitchen” lors d’une inspection régulière de son site web, et a pris les mesures initiales suivantes :
- En tant que mesure de sécurité d’urgence, le site “Nasurak Kitchen” a été fermé et tous les services fournis à partir de ce site ont été suspendus.
- Un “Bureau des mesures de sécurité de l’information” a été créé et a consulté des organismes tiers externes.
- Jusqu’au 11 novembre, tous les sites web du groupe ont été examinés, des mesures provisoires de correction des vulnérabilités ont été prises et le nombre et les éléments de fuites maximales ont été déterminés.
Points clés des premières mesures
En cas de confirmation du risque de fuite d’informations due à un accès non autorisé, les mesures suivantes doivent être prises immédiatement pour prévenir l’aggravation des dommages, l’apparition de dommages secondaires et la récidive :
- Confirmation des faits (causes de l’accès non autorisé, voies, etc.)
- Arrêt des équipements ou sites qui ont été victimes d’un accès non autorisé
- Déconnexion des équipements ou sites qui ont été victimes d’un accès non autorisé du réseau
Il est important de noter qu’il faut prendre des mesures pour préserver les preuves sans effacer les preuves laissées sur le système par des opérations imprudentes.
Communiqué de presse suite à la découverte d’une fuite d’informations
La première annonce a été faite le 17 novembre 2020 (2020年11月17日) sur le site web de la société Tokken Corporation (東建コーポレーション).
Le contenu de l’annonce comprenait un aperçu de l’accès non autorisé, des mesures futures, et d’autres informations nécessaires détaillées sous la forme de “Questions et réponses sur l’incident de fuite d’informations dû à un accès non autorisé”.
La société Tokken Corporation (東建コーポレーション) et nos sociétés affiliées (ci-après, notre groupe) ont confirmé le 20 octobre 2020 (2020年10月20日) que notre réseau avait été victime d’un accès non autorisé par un tiers, et qu’il était possible que des informations personnelles, telles que les demandes de renseignements à Home Mate, géré par notre groupe, les informations des membres des sociétés affiliées et les informations des candidats à diverses campagnes, aient été divulguées à l’extérieur.
Sur la fuite d’informations personnelles due à un accès non autorisé[ja]
La page web liée ci-dessus, “Questions et réponses sur l’incident de fuite d’informations dû à un accès non autorisé”[ja], contient les informations suivantes.
Sur le contenu des informations divulguées
Q Quelles sont les informations qui ont fuité cette fois-ci?
A Nous pensons que les “noms”, “adresses”, “numéros de téléphone”, “adresses e-mail” et “mots de passe” ont fuité sur tous les sites, y compris ceux gérés par nos sociétés affiliées.
Q Les informations de carte de crédit ont-elles fuité?
A Sur les sites que nous gérons, y compris nos sociétés affiliées, nous ne conservons aucune information telle que les numéros de carte de crédit ou les numéros d’identification personnelle, donc il n’y a pas de risque de fuite.
Dans l’explication sur les informations divulguées, il est possible d’éviter une inquiétude et une confusion inutiles en précisant clairement les informations qui pourraient avoir fuité et celles qui ne risquent pas de fuir.
Sur les mesures futures
Q Est-il sûr de continuer à utiliser les sites, y compris ceux des sociétés affiliées de Tokken?
A Pour tous les sites que nous gérons, y compris nos sociétés affiliées, le renforcement de la sécurité contre les accès non autorisés similaires est maintenant terminé.
Q Quel type de gestion de l’information prévoyez-vous à l’avenir?
A À l’avenir, nous prévoyons de recevoir des vérifications par des organismes d’inspection tiers si nécessaire, et si des vulnérabilités sont trouvées sur le site, nous les corrigerons immédiatement et nous nous efforcerons d’une gestion de l’information plus stricte.
Dans les mesures futures, il est important d’expliquer soigneusement la réponse en matière de sécurité du site que l’utilisateur utilisait, la possibilité de réutilisation, et le système de gestion de l’information à l’avenir.
Questions et réponses sur les dommages et intérêts, etc.
Q Des excuses ou des indemnités seront-elles versées aux personnes qui ont subi des dommages dus à la fuite d’informations?
A Sur la base des informations qui ont fuité à cause de cet accès non autorisé, nous n’avons pas l’intention de payer des excuses ou des indemnités. Cependant, si vous avez subi des dommages financiers à cause de cette fuite d’informations et que vous pouvez présenter des preuves concrètes, veuillez consulter notre “Bureau de consultation sur les informations personnelles”.
Q Il y a eu un retrait que je ne reconnais pas. Serez-vous indemnisé?
A Si un retrait que vous ne reconnaissez pas a été effectué à partir du compte que vous détenez, nous vous demandons de contacter directement l’entreprise qui a effectué le retrait. De plus, si cette fuite d’informations est à l’origine d’un retrait que vous ne reconnaissez pas, nous vous prions de bien vouloir nous en informer à notre “Bureau de consultation sur les informations personnelles”.
Il est clair que nous ne paierons pas d’excuses ou d’indemnités, mais nous consulterons individuellement sur les dommages et intérêts en cas de dommages financiers dus à la fuite d’informations.
Le timing du premier communiqué de presse laisse des questions en suspens
En matière de gestion de crise d’entreprise, il faut avant tout penser à “limiter les dommages”, “prévenir les dommages secondaires” et “prévenir la récidive”.
Par conséquent, lorsqu’une fuite d’informations est découverte, il est important d’informer les parties concernées le plus rapidement possible après avoir pris des mesures initiales.
Les questions et réponses de Tokken Corporation couvrent un large éventail de questions prévues et répondent soigneusement à chacune d’elles, ce qui suggère qu’elles ont été préparées en consultation approfondie avec des experts tels que des avocats à l’avance. Cependant, il reste des questions sur le fait que l’annonce a été faite environ un mois après la découverte de l’accès non autorisé.
Certes, en tant qu’entreprise, nous voulons annoncer après avoir mené une enquête et pris des mesures, mais les quatre points suivants n’auraient-ils pas dû être annoncés plus tôt en tant que premier rapport?
- La découverte de la fuite d’informations et les personnes présumées concernées
- Le contenu des informations personnelles qui ont fuité
- Il n’y a pas de risque de fuite d’informations de crédit telles que les numéros de carte
- Le système et le calendrier futurs
- Le point de contact pour les demandes de renseignements
Points clés sur les notifications, les rapports et les annonces
Lorsqu’une fuite d’informations se produit, il est nécessaire d’envisager d’informer les utilisateurs et les partenaires commerciaux en fonction de la cause et du contenu de l’information, de signaler à l’autorité de surveillance et à la police, et d’annoncer par le biais de sites Web et des médias.
En cas de criminalité
Si une intrusion illégale présente une possibilité de crime, il est nécessaire de mener une enquête sur les faits et de prendre des mesures pour préserver les preuves, puis de signaler rapidement à la police.
Dans le cas de la société Tōken Corporation (Japanese: 東建コーポレーション), un rapport de dommage a été fait au Ministère du Territoire, de l’Infrastructure, des Transports et du Tourisme (Japanese: 国土交通省) et au quartier général de la police préfectorale d’Aichi (Japanese: 愛知県警察本部) le lendemain de la fin de l’enquête sur le site Web de l’ensemble du groupe.
En cas de risque de fuite d’informations personnelles de crédit
Si il y a une possibilité de fuite de “My Number” (Japanese: マイナンバー), de numéros de carte de crédit, de comptes bancaires, d’identifiants et de mots de passe, il est nécessaire de notifier rapidement à la personne concernée et de l’encourager à les suspendre pour prévenir les dommages secondaires.
En cas de grande échelle ou de large portée, ou lorsque la notification individuelle à toutes les parties concernées est difficile
Des annonces seront faites par le biais de la publication d’informations sur le site Web et des conférences de presse. Cependant, si l’annonce risque d’aggraver les dommages, il faut juger en tenant compte du moment de l’annonce et des personnes concernées.
De plus, lors de l’annonce, assurer la transparence et divulguer autant de faits que possible contribue à la confiance de l’entreprise et aide également à prévenir l’aggravation des dommages et à prévenir des incidents similaires.
Publication du deuxième communiqué de presse
Le 9 février 2021, après le début de la nouvelle année, la société Tōken Corporation a publié sur son site web un deuxième rapport concernant la fuite d’informations personnelles, et a corrigé le nombre et les détails des informations divulguées.
À la suite d’une enquête de type forensic menée par une tierce partie, nous avons réexaminé les informations divulguées et avons constaté certaines différences. Nous vous prions de bien vouloir consulter le document annexe 1 “Détails par site et service” pour plus d’informations. (Extrait) De plus, le nombre total de cas de fuite d’informations a été révisé à la baisse, passant de 657 096 à 655 488.
En dehors des corrections mentionnées ci-dessus, le contenu du rapport est essentiellement le même que celui du premier communiqué de presse, avec l’ajout de quelques informations sur la manière de gérer les courriels indésirables et suspects. Cette publication est la dernière en date concernant cette affaire.
Le quartier général des mesures, au cœur de la gestion de crise
Après la découverte d’un accès non autorisé, la société japonaise Tōken Corporation a mis en place un “Quartier général de la sécurité de l’information”, en collaboration avec des organismes tiers externes et la police, afin de prévenir toute récidive.
La structure de cette organisation n’est pas claire, mais il est nécessaire de mener simultanément non seulement des mesures de sécurité du système, mais aussi des communications avec les utilisateurs concernés, des relations avec les médias, des réponses aux actionnaires, et des examens de responsabilité juridique. En général, la participation des organismes tiers externes et des experts suivants est nécessaire :
- Grandes entreprises de logiciels
- Grands fournisseurs spécialisés en sécurité
- Avocats externes avec une expertise approfondie en cybersécurité
Résumé
Comme dans le cas présent où une fuite massive de données personnelles dépassant 650 000 cas a été révélée, il est crucial de mettre en place une “réponse initiale” et des “mesures de sécurité”, centrées sur une “notification, rapport et divulgation” par une cellule de crise.
La rapidité est particulièrement requise non seulement pour la réponse initiale, mais aussi pour la notification et le rapport aux forces de l’ordre et aux agences gouvernementales concernées, ainsi que pour la divulgation aux parties concernées (communiqué de presse).
Cependant, si vous vous trompez dans la manière de gérer la situation, vous pourriez être tenu responsable des dommages et intérêts, il est donc recommandé de consulter à l’avance un avocat ayant une connaissance et une expérience approfondies en matière de cybersécurité, plutôt que de prendre une décision par vous-même.
Si vous êtes intéressé par la gestion de crise lors de la fuite d’informations causée par le malware de Capcom, veuillez consulter notre article pour plus de détails.
https://monolith-law.jp/corporate/capcom-information-leakage-crisis-management[ja]
Présentation des mesures prises par notre cabinet
Le cabinet d’avocats Monolis est un cabinet d’avocats spécialisé dans l’IT, en particulier dans les aspects juridiques de l’Internet. Notre cabinet travaille sur la création et la révision de contrats pour diverses affaires, allant des entreprises cotées sur le marché principal de la Bourse de Tokyo aux startups. Si vous rencontrez des difficultés, veuillez consulter l’article ci-dessous.