Attaque cybernétique contre la CNSS : les premiers résultats des investigations

La CNDP met en garde contre l’utilisation des données obtenues illicitement

Cyberattaque : La CNSS qui a été la cible d’une cyberattaque a réagi en publiant un communiqué mercredi soir annonçant qu’une enquête administrative interne est en cours et que les autorités judiciaires compétentes ont été saisies. La CNDP se tient prête à recevoir et traiter les plaintes de toute personne physique estimant être victime de fuites ou de publication illicite de données personnelles.

Deux cyberattaques ont été menées le mardi 8 avril contre le site internet du ministère de l’emploi puis la base de données de la Caisse nationale de sécurité sociale (CNSS). Un groupe de hackers algériens se faisant appeler «Jabaroot DZ» a revendiqué, mardi soir sur Telegram, le piratage de la CNSS et affirmé avoir publié un fichier contenant les données personnelles -notamment les numéros de cartes d’identité, numéros de téléphone et coordonnées bancaires- de 2 millions de salariés employés par près de 500.000 entreprises. La CNSS a réagi en publiant un communiqué mercredi soir annonçant qu’une enquête administrative interne est en cours alors que les autorités judiciaires compétentes ont été saisies par la Caisse.

Dans son communiqué la CNSS a affirmé que «les premières vérifications réalisées par ses services concernant certains documents fuités, attribués à une attaque cybernétique et partagés sur des plateformes de réseaux sociaux, ont permis de relever leur caractère souvent faux, inexact ou tronqué». La Caisse a indiqué que son système informatique a fait l’objet d’une série d’attaques cybernétiques visant à contourner les dispositifs de sécurité, relevant que ces attaques ont causé une fuite de données dont les origines et les contours sont en cours d’évaluation. La même source a précisé que dès l’observation de la fuite des données, le protocole de sécurité informatique a été actionné avec des mesures correctives qui ont permis de contenir le chemin utilisé et de renforcer les infrastructures. La CNSS fait savoir que des moyens ont été mis en œuvre pour identifier précisément les données concernées. La Caisse appelle l’ensemble des citoyens et médias à faire preuve de vigilance, de sens de la responsabilité et d’éviter tout acte de diffusion ou de partage de données fuitées ou falsifiées au risque de s’exposer à des conséquences judiciaires.
Rappelons qu’en juillet 2024, la CNSS avait lancé un appel d’offres relatif au renforcement de la cybersécurité et portant sur la souscription à une solution de cyber surveillance. Avec la multiplication des appareils connectés, des applications et des services en ligne, l’environnement informatique devient de plus en plus complexe, offrant ainsi davantage de points d’entrée potentiels pour les attaquants. De ce fait, la CNSS a lancé ce projet qui s’inscrit dans une démarche de prévention visant à avoir une vision 360° sur le paysage des menaces et réduire les risques de sécurité informatique en identifiant, évaluant et contrôlant les points d’entrée potentiels pour les attaquants externes dans le SI de la CNSS.

Suite à la série d’attaques de cybersécurité ayant fait fuiter, en particulier, des données de la CNSS, la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) tient à sensibiliser les différents publics contre les risques liés à l’utilisation de données à caractère personnel, qui seraient issues d’une fuite, ou publiées sur des canaux non autorisés. Dans un communiqué publié le jeudi 10 avril, la CNDP rappelle que le traitement licite de données à caractère personnel repose sur le consentement éclairé de la personne concernée ou sur un cadre légal autorisé par la loi n°09-08, ajoutant que toute information obtenue en dehors de ce cadre est illicite, et son utilisation constitue une infraction.
A cet égard, la CNDP souligne qu’elle est, en particulier, investie de prérogatives d’investigation et d’enquête, en vertu de l’article 30 de la loi n°09-08, lui permettant de s’assurer que les responsables du traitement des données à caractère personnel, d’une part effectuent ce traitement en conformité avec la loi n°09-08, et d’autre part, que les données à caractère personnel traitées sont protégées d’une manière conforme aux dispositions de l’article 24 de la loi n°09-08. Conformément à sa mission, la CNDP se tient prête à recevoir et traiter les plaintes de toute personne physique estimant être victime de fuites ou de publication illicite de données personnelles. La Commission diligentera une enquête pour vérifier la conformité du traitement desdites données aux dispositions de la loi n°09-08 et de ses textes d’application, notamment à la lumière des premières vérifications réalisées par certains acteurs qui ont permis de relever que certains documents fuités, attribués à cette attaque cybernétique, se sont avérés faux, inexacts ou tronqués.