Bonjour,
Dans le prolongement de notre communication du lundi 6 décembre, nous vous adressons quelques compléments d’information.
SVP SIRH a été l’objet d'une attaque informatique dans la soirée de vendredi 3 décembre 2021. Malgré toutes les mesures de sécurité mises en place sur nos installations et la réactivité de nos équipes accompagnées par des experts en cybersécurité, une intrusion dans nos systèmes informatiques a été confirmée.
Conformément à notre protocole de sécurité, nous avons immédiatement mis en œuvre notre plan de continuité des activités et en particulier procédé à la déclaration CNIL concernant l'ensemble des traitements que nous effectuons. Une plainte a également été déposée par nos soins.
Quelle est la situation aujourd’hui ?
A ce jour, les investigations que nous avons menées ne nous permettent pas de confirmer ou d’infirmer une exfiltration de vos données à partir de nos serveurs internes.
Néanmoins, la sécurité de vos données reste naturellement notre principale préoccupation en tant que sous-traitant de données personnelles.
Quelles sont les caractéristiques connues de l’incident ?
- Date de la détection : 03/12/2021 à 23h30
- Type d’incident : attaque de type CONTI avec un cryptage des données du serveur interne. Les outils SIRH et Paie ne sont pas affectés.
- Actions immédiates menées : déconnexion immédiate de notre réseau informatique et de toutes nos applications internes, coupure des accès distants et intersites, mise en place d’une cellule de crise avec intervention de prestataires spécialisés en cyberattaque et activation de la procédure de reconstitution des back-ups.
- Durée de l’incident : nous ne disposons pas d'informations précises.
- Actions en cours : analyse approfondie de l’incident, restauration de nos serveurs internes à partir de backup sains, renforcement de la sécurisation de notre infrastructure et de notre réseau,
- Catégorie de données potentiellement affectées : la liste des données personnelles traitées pour votre compte par SVP SIRH est accessible via ce lien.
- Volume des données potentiellement affectées : c’est une information que nous ne pouvons pas déterminer à ce jour.
Quelles actions sont à mener de votre côté ?
Afin de respecter vos obligations découlant du traitement des données personnelles, nous vous invitons, dans les meilleurs délais, à faire une déclaration initiale auprès de l’autorité de contrôle de votre pays et pour la France, en utilisant la procédure officielle indiquée ici : https://notifications.cnil.fr/notifications/actions
Retrouvez ici le document Aide pour compléter votre propre déclaration CNIL
Nous vous tiendrons naturellement informés de la suite de cet incident.
En vous remerciant une nouvelle fois pour votre confiance.
Valérie Chazeau
Directrice des Opérations de SVP SIRH
NB : le DPO de SVP en charge de la protection des données personnelles se tient à votre disposition pour toute information complémentaire à l’adresse : dpo@svp.com
