Piratage chez Direct Assurance : les données de 15 000 clients dérobées

L'assureur en ligne Direct Assurance vient d'être victime d'un piratage informatique de grande ampleur. Selon les premières informations, les données personnelles d'environ 15 000 clients auraient été subtilisées par un hacker. Un nouveau coup dur pour le secteur de l'assurance, régulièrement ciblé par les cyberattaques.

Direct Assurance pris pour cible par un pirate

C'est un véritable séisme qui secoue Direct Assurance. Cet assureur spécialisé dans la vente de contrats d'assurance auto et habitation sur Internet a révélé avoir subi un piratage informatique mi-novembre. Un hacker serait parvenu à s'introduire dans son système informatique et à dérober les données personnelles de près de 15 000 clients.

Parmi les informations dérobées figureraient les noms, prénoms, adresses postales, adresses e-mail et numéros de téléphone des clients concernés. En revanche, les numéros de comptes bancaires et les données de carte bleue n'auraient pas été compromis, celles-ci étant stockées sur des serveurs sécurisés distincts. Un soulagement relatif pour les victimes.

Une faille de sécurité à l'origine du piratage ?

Si les circonstances exactes du piratage n'ont pas été révélées, il semblerait qu'une faille de sécurité dans le système informatique de Direct Assurance soit à l'origine de l'attaque. Le hacker aurait exploité une vulnérabilité pour s'introduire dans les bases de données de l'assureur et aspirer les précieuses informations des clients.

La sécurité de nos systèmes est une priorité absolue. Nous mettons tout en œuvre pour identifier l'origine de cette attaque et renforcer nos dispositifs de protection des données.

Communiqué de Direct Assurance

Reste à savoir si cette faille était connue de l'assureur et si des mesures avaient été prises pour la corriger. Car selon le Règlement Général sur la Protection des Données (RGPD), les entreprises ont l'obligation légale de garantir la sécurité des données personnelles qu'elles collectent et de notifier les failles aux autorités.

Les clients seront informés individuellement

Conformément à la réglementation sur la protection des données, Direct Assurance va devoir informer individuellement chaque client victime du piratage. Des e-mails et des courriers devraient être envoyés dans les prochains jours pour les alerter que leurs données ont été compromises.

L'assureur devra également leur fournir des recommandations pour limiter les risques liés à ce vol d'informations personnelles :

• Être vigilant vis-à-vis des e-mails et appels suspects (hameçonnage)
• Modifier les mots de passe des comptes en ligne
• Surveiller ses relevés bancaires et signaler toute opération suspecte

Les victimes pourront aussi porter plainte et faire valoir leurs droits, notamment celui d'obtenir réparation du préjudice subi. Des actions collectives pourraient voir le jour.

Direct Assurance risque gros

Au-delà de son image écornée, Direct Assurance s'expose à de lourdes conséquences après ce piratage massif. Des sanctions de la CNIL sont à prévoir, celle-ci pouvant infliger des amendes allant jusqu'à 4% du chiffre d'affaires annuel de l'entreprise fautive.

Sans compter les potentielles actions en justice des clients lésés qui réclameront des dommages et intérêts. Enfin, cette attaque va obliger l'assureur à revoir en profondeur sa cybersécurité en y investissant massivement. Un chantier aussi coûteux qu'indispensable à l'heure où les pirates informatiques n'ont jamais été aussi actifs et organisés.

Le secteur de l'assurance, qui se digitalise à vitesse grand V, est une cible de choix pour les hackers en quête de données personnelles à revendre sur le dark web ou à exploiter pour des fraudes. Un défi majeur pour les acteurs du marché qui doivent réussir leur transformation numérique tout en protégeant un actif aussi stratégique que sensible : les données de leurs millions de clients. Un sacré numéro d'équilibriste.