Attention un mail reçu hier de l’Institut victime de pisshing. L’Académie fiscale interroge l’ITAA qui lui répond de manière correcte et professionnelle

Attention un mail reçu hier de l’Institut victime de pisshing. L’Académie fiscale interroge l’ITAA qui lui répond de manière correcte et professionnelle

 In Numérique, Profession
0

Hier le 11 avril vers 11H15, beaucoup d’entre vous ont reçu, en pleine période TVA, un email émanant d’un membre du personnel de l’ITAA.  Un message de 16H56 émanant de l’ITAA était rédigé comme suit :

Attention au phishing

Chères consœurs, chers confrères,

Un e-mail circule actuellement avec charles.bayart@itaa.be comme expéditeur et “Mise en demeure” comme sujet.
Veuillez l’ignorer. Il s’agit de phishing.

L’ITAA ne vous envoie jamais de liens par mail pour demander vos identifiants et mots de passe afin d’accéder à des informations. Les seules interactions ou il faut vous identifier se font via le portail ITAA. (https://portal.itaa.be)

Toutes nos excuses pour le désagrément.

Notre équipe prendra les mesures requises pour garantir la sécurité des données. Merci pour votre compréhension et soyons plus que jamais sur nos gardes.

Salutations confraternelles,

L’Académie fiscale s’est intérrogée forcement sur les mesures de sécurité qui entoure les services informatiques de l’ITAA.

Voici le message que nous avons adressé le 12 avril 2023 10:03 à privacy@itaa.be  pour obtenir des explications :

Madame, Monsieur,

Hier, le 11 avril 202023 différents membres de notre association nous ont informés avoir reçu en fin de matinée, de la part de votre Institut professionnel ou d’un de ses salariés internes, un message qui contiendrait apparemment un virus.

Certains ont cru de bonne foi que ce message leur était destiné même si le contenu pouvait porter à confusion au vu de leur situation personnelle au regard de leurs obligations vis-à-vis de l’ITAA.

En fin de journée un message émanant de votre Institut a informé les membres que ce message était virolé et que la prudence s’imposait. Beaucoup de nos membres ne sont pas chaque seconde à chercher les mails émanant de l’Institut.
Ce matin encore différentes personnes qui nous ont contactés nous informent ne pas avoir encore pris connaissance de votre mail, étant retenu par les obligations impératives en terme de TVA périodique pour leurs clients.

Notre interrogation, afin de rassurer nos membres, portent sur les points suivants :

1 De quelle manière l’Institut a-t-il constaté que ce message était virolé ?
2 Quelles sont les mesures immédiates prises par le DPO de l’Institut ?
3 Comment l’Institut peut-il rassurer les personnes inscrites au registre public que leurs données personnelles, dont les données financières, n’ont pas été violées ?
4 Comment l’Institut peut-il rassurer les personnes concernées que des données judiciaires et relatives aux dossiers disciplinaires n’ont pas été violées ?
5 La déclaration de protection des données et vie privée de l’Institut disponible sur son site, n’indique pas l’endroit physique où sont conservées les données de l’ITAA. Voulez-vous nous préciser les localités des différents serveurs utilisés par l’Institut, tant pour les serveurs principaux que pour les backup ?
6 L’Institut déclare au point E. de sa déclaration de protection des données que : « L’ITAA convient en outre avec les prestataires de services externes qui traitent des données à caractère personnel pour l’ITAA qu’ils doivent à tout moment prendre les mesures de sécurité nécessaires et en rendre compte à l’ITAA. À cette fin, un accord de traitement est établi et signé au préalable. » Quels sont ces prestataires de services ? Est-il possible d’obtenir copie de ces contrats pour rassurer les membres ?

Vous comprendrez qu’en l’absence de réponse circonstanciée et complète à nos questions sous vingt-quatre heures, nous devrons en informer l’Autorité de protection des données contact@apd-gba.be.

Nous vous adressons, Madame, Monsieur, nos meilleures salutations respectueuses.

Nous tenions à informer nos membres de cette action importante en vue de la préservation de leurs données personnelles obligatoirement fournies à l’ITAA.

Voici la réponse de l’ITAA reçue ce 13 avril 2023 09:57 du DPO

Cher Monsieur Riquet,

Nous avons bien reçu votre demande d’information concernant l’e-mail de phishing et nous vous communiquons ci-dessous les réponses à vos différentes questions.

L’ITAA (le compte Outlook de M. Bayart), et par la suite ses membres (uniquement ceux dont l’adresse électronique était incluse dans le compte Outlook de M. Bayart), ont été victimes le 11/04/2023 d’un e-mail de phishing, et non d’un e-mail dans lequel un virus a été envoyé. Les membres du personnel de l’ITAA (dont l’adresse électronique figurait dans le compte Outlook de M. Bayart) ont également reçu le courriel de phishing de l’adresse e-mail charles.bayart@itaa.be. Plusieurs membres du personnel ont suspecté qu’il s’agissait d’un courrier frauduleux et ont immédiatement informé le service informatique de l’Institut, après que la direction et le délégué à la protection des données ont été informés.

Tous les coordonnées des comptes de M. Bayart ont été modifiées immédiatement après la notification, et le firewall ainsi que la sécurité du serveur en cloud ont été vérifiés. Le serveur n’a pas été attaqué. L’incident a été examiné et les mesures nécessaires ont été prises. Sur les conseils du délégué à la protection des données de l’ITAA, les personnes concernées ont été informées le jour même par un avis général sur le site web de l’ITAA et, plus tard, tous les membres de l’Institut ont été informés par un flash de l’ITAA. Le service desk a été incité à traiter de toute urgence les tickets et les courriels relatifs à ce problème.

Les données personnelles des membres enregistrés auprès de l’ITAA sont toutes conservées dans une base de données sur un environnement en cloud localisé chez Proximus (lieu) avec une sauvegarde (…). On ne peut pas accéder à cette base de données de l’ITAA via le compte Outlook.

Votre sixième point, votre demande d’information sur les différents sous-traitants de l’ITAA, est également noté et nous vous fournissons une première réponse. Nous attirons votre attention sur l’article 12, point 3 de la loi RGPD, qui nous donne un mois pour donner suite à votre demande. Vous pouvez déjà trouver les programmes et systèmes les plus fréquemment utilisés (y compris les sous-traitants) de l’ITAA au point F de la déclaration de confidentialité sur le site web. Nous vous fournirons une version plus détaillée de cette liste dans le délai imparti.
Toutefois, nous ne pouvons pas vous donner accès aux contrats de sous-traitant individuelles, car il s’agit de documents juridiques entre l’ITAA et ses sous-traitants. Toutefois, si vous le souhaitez, vous pouvez consulter le modèle du contrat de sous-traitant établi par l’ITAA à l’Institut.

Nous vous prions d’agréer, Madame, Monsieur, l’expression de nos salutations distinguées,

Maï Terryn
Data Protection Officer – Data Manager

L’Académie fiscale remercie l’ITAA, la DPO et son responsable IT, Marc VAN THOURNOUT, pour la réactivité et le caractère professionnel de la gestion de cet incident.

 

Restez prudents et attentifs dans la gestion de vos données et de celles de vos clients. Veillez avec le DPO de votre fiduciaire à vérifier régulièrement les logs de votre site web et avec votre provider.

J’en profite pour vous inviter réellement, apres les TVA, à vérifier que vos données sont localisées au sein de serveurs dans l’EEE (UE + la Suisse et la Norvège) car tant les serveurs américains (non localisés en UE), que chinois sont à bannir car personne ne sait réellement ce qui est réalisé avec vos données et celles de vos clients.

Les données de l’Académie fiscale sont localisées chez Combell à Gent dont les serveurs sont situés dans l’Union européenne. Un backup des données est situé auprès de deux providers suisses Tresorit et Infomaniak.

 

Recent Posts

Leave a Comment

Contact Us

Nous ne sommes pas là en ce moment. Mais vous pouvez nous envoyer un e-mail et nous vous répondrons dès que possible.

Not readable? Change text. captcha txt
0
L’Académie fiscale invite l’ITAA en résolution de conflit afin de clarifier le système de vote aux électionsProfession
Précisions sur le délai prolongé au 18 octobre 2023 pour le dépôt des déclarations fiscales 2022Fiscal, Profession