Français English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fr/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Leçons de gestion de crise et le rôle des avocats à partir de la fuite d'informations de l'Université Keio

Leçons de gestion de crise et le rôle des avocats à partir de la fuite d'informations de l'Université Keio

General Corporate

Leçons de gestion de crise et le rôle des avocats à partir de la fuite d'informations de l'Université Keio

Les fuites d’informations dues à des accès non autorisés ne se produisent pas uniquement dans les entreprises, mais aussi dans le milieu éducatif, bien que la réponse à ces incidents semble différer légèrement de celle des entreprises.

En particulier, en ce qui concerne les informations personnelles, les étudiants et le personnel enseignant sont souvent au cœur de ces incidents, de sorte que la divulgation d’informations en cas de fuite d’informations est généralement limitée à un certain périmètre.

Cependant, qu’il s’agisse d’une entreprise ou d’une école, la protection des informations personnelles ne change pas, et les principes de base de la gestion de crise en cas de fuite d’informations sont les mêmes.

Par conséquent, dans cet article, nous allons expliquer les points clés de la gestion de crise en cas d’incident de fuite d’informations personnelles due à un accès non autorisé, en nous basant sur la réponse à l’incident de fuite d’informations sur le campus de Shonan Fujisawa de l’Université Keio (ci-après, Keio SFC).

Résumé de l’incident de fuite d’informations à Keio SFC

Voici les principaux détails concernant la fuite d’informations due à un accès non autorisé qui s’est produite à Keio SFC.

  • Découverte de la fuite : Le 29 septembre 2020 (année grégorienne), il a été découvert qu’il y avait une possibilité de fuite d’informations due à un accès non autorisé au système de soutien aux cours (SFC-SFS)※.
    ※Le SFC-SFS est un système qui possède des fonctions telles que l’envoi d’e-mails en masse aux étudiants inscrits, le téléchargement de listes d’étudiants inscrits, l’enregistrement de rapports et de devoirs, la réception de soumissions, l’enregistrement des notes (commentaires), l’entrée et la consultation de commentaires sur les enquêtes de cours.
  • Cause de la fuite : Les identifiants et mots de passe de 19 utilisateurs du système ont été volés, et une tierce partie les a utilisés de manière abusive pour s’introduire dans le système. On pense que la vulnérabilité du SFC-SFS est la principale cause.
  • Portée de la fuite : Les informations personnelles des étudiants et du personnel que le campus de Shonan Fujisawa gérait.
  • Contenu de la fuite : En plus du “nom”, “adresse”, “nom de compte”, “adresse e-mail”, dans le cas des étudiants, des informations telles que “photo”, “numéro d’étudiant”, “informations sur les crédits obtenus”, “date d’entrée à l’université”, et dans le cas du personnel, des informations telles que “numéro de personnel”, “position”, “profil”, “données de courrier électronique personnel” sont incluses.
  • Nombre de cas de fuite : Il y a environ 33 000 cas possibles de fuite d’informations.

Détection d’accès non autorisé et premières mesures

Le 15 septembre à 17h45, le département IT de Keio SFC a détecté des traces d’exploration de vulnérabilités sporadiques sur le SFC-SFS.

De plus, le soir du 28 septembre, après avoir détecté un accès suspect au système SFC-SFS et l’avoir enquêté, il a été découvert au petit matin du 29 septembre qu’il y avait une possibilité de fuite d’informations due à un accès non autorisé.

Keio SFC a commencé les premières mesures le jour suivant la détection de l’exploration de vulnérabilités, un signe d’accès non autorisé.

  • Demande de changement de mot de passe à tous les utilisateurs (16 septembre, 30 septembre)
  • Surveillance continue de tous les points d’authentification et des journaux d’authentification (à partir du 16 septembre)
  • Limitation de l’accès au serveur partagé depuis l’extérieur à l’authentification par clé publique uniquement (16 septembre)
  • Arrêt des services Web où des vulnérabilités ont été confirmées et correction des points de vulnérabilité [en cours] (à partir du 16 septembre, SFC-SFS le 29 septembre)
  • Arrêt du système SFC-SFS (29 septembre)

À propos des premières mesures de Keio SFC

En cas de détection d’accès non autorisé, il est essentiel de mettre en place un quartier général de contre-mesures et de prendre des premières mesures, mais dans ce cas, il semble que le département IT, dirigé par M. Kunio, le directeur permanent de Keio Gijuku et le responsable suprême de l’information et de la sécurité de l’information, ait fonctionné comme un quartier général de contre-mesures.

Il est important dans les premières mesures de “isoler l’information”, “couper le réseau” et “arrêter le service” pour prévenir l’expansion des dommages et l’apparition de dommages secondaires, mais dans le cas de Keio SFC, comme les utilisateurs du système sont limités aux étudiants et au personnel, le changement de mot de passe et la limitation de la méthode de connexion sont prioritaires.

Cependant, le fait qu’ils aient commencé à bouger immédiatement après avoir détecté les signes d’accès non autorisé, et qu’ils aient arrêté le système SFC-SFS le 29 septembre lorsque la possibilité de fuite d’informations a été découverte, peut être considéré comme une gestion de crise appropriée.

Un point de préoccupation concernant les premières mesures de Keio SFC est de savoir s’ils ont signalé à l’autorité de surveillance ou à la police après avoir pris des mesures pour préserver les preuves contre l’accès non autorisé, qui est un crime, mais cela ne peut être confirmé car il n’y a pas de description dans les communiqués de presse ou les médias.

Concernant la notification aux parties concernées

La notification aux étudiants et au personnel de Keio SFC a été faite sous la forme d’un e-mail de communication d’affaires comme suit, et il semble que le premier e-mail mentionnant la fuite d’informations personnelles ait été celui du 30 septembre.

Le 29 septembre, le personnel de Keio SFC a été informé que le SFC-SFS avait été arrêté en raison d’un “problème grave”.

Le 30 septembre, tous les utilisateurs du SFC-SFS ont été invités à changer leur mot de passe car il y avait une possibilité que les “informations de compte de l’utilisateur” aient été divulguées à cause de ce problème.

De plus, le personnel a été informé que les cours seraient suspendus pendant une certaine période car ils ne pouvaient pas contacter les étudiants inscrits ou sélectionner les étudiants inscrits comme prévu en raison de l’arrêt du SFC-SFS.

J-CAST News, qui a entendu parler de cette information, a enquêté et le même jour, dans un article intitulé “Problème grave avec le système de cours à Keio SFC, le début du semestre d’automne est retardé d’une semaine”, la fuite des “informations de compte de l’utilisateur” est devenue publique.

Le 1er octobre, sur le site web de Keio SFC, il a été annoncé aux étudiants que le SFC-SFS avait été arrêté le 29 septembre en raison de la possibilité d’un accès non autorisé, et que les cours seraient suspendus du 1er au 7 octobre en raison de cet impact. (※ Aucune mention de la fuite d’informations personnelles)

Communiqué de presse suite à la découverte d’une fuite d’informations

La première annonce publique concernant la fuite d’informations personnelles due à un accès non autorisé a eu lieu le 10 novembre, sur notre site web.

Cette fois-ci, il a été découvert qu’il est possible que des informations personnelles des utilisateurs aient fuité à partir du système de réseau d’information du campus de Shonan Fujisawa (SFC-CNS en japonais) et du système de soutien à l’enseignement (SFC-SFS en japonais), suite à un vol des ID et mots de passe de 19 utilisateurs (personnel enseignant) par une certaine méthode, et une attaque exploitant la vulnérabilité du système de soutien à l’enseignement (SFC-SFS en japonais) en utilisant ces informations volées. Nous nous excusons sincèrement pour les désagréments et les inquiétudes que cette situation a pu causer à toutes les personnes concernées. À ce stade, aucun dommage secondaire n’a été confirmé.

Keio Gijuku “Fuite d’informations personnelles due à un accès non autorisé à SFC-CNS et SFC-SFS” [ja]

Ce communiqué de presse contenait également des informations détaillées sur les points suivants :

  • Le contenu des informations personnelles qui pourraient avoir fuité
  • Les circonstances de la découverte de la fuite
  • La cause de la fuite
  • Les mesures prises après la découverte
  • La situation actuelle
  • Les mesures pour prévenir une récidive

Ces points couvrent presque tous les éléments nécessaires à un document public concernant une fuite d’informations.

À propos du communiqué de presse de Keio SFC

Le moment du communiqué de presse

Normalement, Keio SFC aurait dû être le premier à faire une annonce publique, mais le fait qu’il ait fait cette annonce 41 jours après le reportage de J-CAST News est inévitablement considéré comme tardif.

En effet, en cas de fuite d’informations personnelles, il est nécessaire de notifier rapidement la personne concernée par les informations qui ont fuité afin de prévenir d’éventuels dommages secondaires.

Cependant, s’ils ont informé du contenu spécifique des “informations de compte de l’utilisateur” lors de la demande de changement de mot de passe le 30 septembre, il n’y a pas de problème.

Mise en garde contre les fraudes et les comportements gênants

Dans un communiqué de presse suite à la découverte d’une fuite d’informations, il est nécessaire de faire une annonce publique concernant la fuite d’informations qui s’est produite, d’informer et de s’excuser auprès de la personne concernée si des informations personnelles ont fuité, et de mettre en garde contre les risques de fraude et de comportements gênants.

Si des informations provenant d’un campus fermé fuient vers le monde extérieur, elles peuvent être mal utilisées, et dans le cas présent, une mise en garde contre les fraudes et les comportements gênants est nécessaire.

Le quartier général central de la gestion de crise

Keio SFC a décrit le quartier général dans ses “mesures de prévention de la récidive” dans un communiqué de presse comme suit :

Au sein de Keio Gijuku, en tenant compte de cet incident d’accès non autorisé, nous nous engageons rapidement à prendre des mesures pour prévenir la récidive, telles que la vérification et l’amélioration de la sécurité des applications Web et des systèmes à l’échelle de l’université, et la révision de la manière dont nous traitons les informations personnelles pour les protéger. De plus, à partir du 1er novembre 2020 (année 2020 du calendrier grégorien), nous avons mis en place une CSIRT (équipe de réponse aux incidents de sécurité de l’information) au sein de l’université, et nous travaillons à la création d’une organisation capable de répondre de manière globale à la cybersécurité, tout en collaborant avec des institutions spécialisées externes, et nous nous efforçons de renforcer davantage la sécurité à l’échelle de l’université.

Keio Gijuku “Concernant la fuite d’informations personnelles due à un accès non autorisé à SFC-CNS et SFC-SFS”[ja]

Il semble que la réponse initiale à cet incident a été gérée par l’organisation interne de Keio SFC, qui a joué le rôle de quartier général. Cependant, la “CSIRT” mise en place le 1er novembre 2020 (année 2020 du calendrier grégorien) est une organisation qui équivaut à un quartier général central pour la gestion de crise en cas d’incident futur et pour le renforcement de la sécurité.

La composition des membres de la CSIRT n’est pas claire, mais en plus des mesures de sécurité du système, il est nécessaire de procéder simultanément à des actions telles que la communication avec les utilisateurs concernés, les rapports aux autorités de surveillance et à la police, la gestion des médias, et l’examen de la responsabilité légale. Par conséquent, la participation des institutions tierces externes et des experts suivants est généralement nécessaire :

  • Grandes entreprises de logiciels
  • Grands fournisseurs spécialisés en sécurité
  • Avocats externes experts en cybersécurité

Résumé

Même dans le cas où une fuite d’informations personnelles est révélée dans le domaine de l’éducation, comme dans le cas présent, il est important de mettre en place une “réponse initiale” appropriée et des “notifications, rapports et publications” centrés sur le quartier général des mesures, ainsi que des “mesures de sécurité” ultérieures.

La vitesse est particulièrement requise non seulement pour la réponse initiale, mais aussi pour les notifications et rapports aux forces de l’ordre et aux agences gouvernementales concernées, les notifications (excuses) aux personnes concernées, et la publication au moment approprié.

Cependant, si vous faites une erreur dans la procédure ou la méthode de traitement, vous pourriez être tenu responsable des dommages et intérêts, il est donc recommandé de consulter à l’avance un avocat ayant une connaissance et une expérience approfondies en matière de cybersécurité, plutôt que de prendre une décision par vous-même.

Si vous êtes intéressé par la gestion de crise lors de la fuite d’informations causée par le malware de Capcom, veuillez consulter l’article pour plus de détails.

https://monolith-law.jp/corporate/capcom-information-leakage-crisis-management[ja]

Présentation des mesures prises par notre cabinet

Le cabinet d’avocats Monolis se distingue par son expertise élevée dans les domaines de l’IT, et plus particulièrement de l’Internet et du droit. Notre cabinet effectue des vérifications légales pour diverses affaires, allant des entreprises cotées sur le marché principal de la Bourse de Tokyo aux startups. Veuillez vous référer à l’article ci-dessous.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Quels sont les points à surveiller dans les contrats de partenariat pour la mise en œuvre des API ? Explication par clause

Quels sont les points à surveiller dans les contrats de partenariat pour la mise en œuvre des AP.

General Corporate

La distinction et les différences entre le détachement, l'envoi, la quasi-délégation, le contrat, le faux contrat et la fourniture de travailleurs

La distinction et les différences entre le détachement, l'envoi, la quasi-délégation, le contrat.

General Corporate

Le contrat de développement de logiciel IA est-il un contrat d'entreprise ou un mandat ? Explication des points clés à surveiller dans le contrat

Le contrat de développement de logiciel IA est-il un contrat d'entreprise ou un mandat ? Explica.

General Corporate

Clause de droit de 'Drag Along' dans les contrats d'investissement de start-up

Clause de droit de 'Drag Along' dans les contrats d'investissement de start-up

General Corporate

Qu'est-ce que la clause de rachat d'actions dans un contrat d'investissement ?

Qu'est-ce que la clause de rachat d'actions dans un contrat d'investissement ?

General Corporate

Contenu du 'document écrit' à prendre en compte lorsqu'une entreprise effectue le 'rachat de congés payés' d'un employé qui quitte l'entreprise

Contenu du 'document écrit' à prendre en compte lorsqu'une entreprise effectue le 'rachat de con.

General Corporate

Comment rédiger une lettre d'avertissement en cas de découverte d'une violation des droits de marque

Comment rédiger une lettre d'avertissement en cas de découverte d'une violation des droits de ma.

General Corporate

Les tendances des incidents de fuite et de perte d'informations personnelles en 2019 (année 2019 du calendrier grégorien)

Les tendances des incidents de fuite et de perte d'informations personnelles en 2019 (année 2019.

General Corporate

Quels sont les critères de jugement pour une violation de brevet ? Explication à travers des cas jurisprudentiels

Quels sont les critères de jugement pour une violation de brevet ? Explication à travers des cas.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retourner En Haut