Commentaires Nomios et ESET : fuite de données des clients MAIF et groupe Caisse d’Epargne

mars 2025 par Nomios et ESET

Deux experts cyber vous proposent leur commentaire sur la fuite de données ayant impacté des clients de la MAIF et du groupe BPCE - Caisse d’Épargne - suite une cyberattaque affectant la FinTech française spécialisée dans les logiciels dédiés aux métiers du patrimoine et de la finance, menée le 27 février et vraisemblablement attribuée à un affidé du groupe cybercriminels RansomHub.

Romain Quinat, expert cyber de l’intégrateur et fournisseur de services cyber managés Nomios :

Cette fuite de données résulte de ce qu’on appelle une attaque supply chain c’est-à-dire la compromission d’un prestataire – dans ce cas, Harvest qui édite un logiciel métier - créant une brèche au sein d’entreprises qui l’utilisent afin d’accéder à leurs données clients. Notons que ce type d’attaque est bien connu et qu’elle est prise en compte dans la réglementation DORA qui vise à renforcer la cybersécurité des institutions financières de l’Union Européenne et dans la Directive européenne NIS 2 qui est en cours de transposition dans la loi française et qui concerne de nombreux sous-traitants qui ne l’étaient pas dans la précédente réglementation NIS.

Dès lors que vous travaillez avec des prestataires manipulant des données, l’une des premières recommandations est de vérifier qu’ils sont certifiés ISO 27001. Bien que l’ISO 27001 ne garantisse pas totalement l’absence de fuite de données, elle assure que la sécurité des informations est une priorité pour votre fournisseur.

Pour anticiper les menaces, il est également utile de surveiller le dark web. Vous pourriez constater que votre secteur ou votre entreprise est ciblé. De plus, vous pouvez découvrir très tôt qu’une compromission a eu lieu, ce qui vous permet de limiter les impacts.

Enfin pour les clients finaux victimes de fuites de données, quelques conseils essentiels à rappeler. Une fois vos données dans la nature, il est plus que probable qu’elles soient utilisées à des fins malveillantes. Si vous êtes démarché pour des informations très sensibles comme celles de la banque ou de l’assurance maladie, n’hésitez pas à poser des questions à votre interlocuteur. Par exemple, demandez quel est votre solde ou quel a été votre dernier remboursement. Si c’est eux qui vous posent ces questions, répondez avec des informations incorrectes. Votre véritable conseiller a accès à vos données et pourra corriger ces erreurs, prouvant ainsi que vous êtes bien en face du bon interlocuteur.

Benoit Grünemwald, expert cyber de l’éditeur de société ESET :

Les données patrimoniales sont parmi les plus problématiques, car elles donnent énormément de crédit à celui qui les utilise. Quand elles sont Ajoutées aux informations d’État civil, elle permet aux criminels de nous faire croire qu’il en sait suffisamment sur nous pour être légitime.