Apple, Amazon, BNP-Paribas, le Crédit Agricole, Canal +, Orange, SFR, Ramsay Santé, Biogroup… La presse rapporte ces derniers jours une fuite de données importante, constituée d’enregistrements d’appels émanant de services clients de grandes marques françaises et américaines. Bien que les détails sur cette fuite de données soient, à ce stade, encore partiels, il nous paraît important d’éclairer nos clients et prospects sur ce type de risque.
Ce que l’on sait sur la faille révélée en mars 2023
Pour rappel, la fuite semble concerner un ensemble d’enregistrements d’appels sous forme de fichiers audio, dont le nom correspond au numéro d’appelant. Ce point est problématique, car il rend personnelles des données autrement quasi anonymes. La variété des clients concernés laisse penser que la fuite proviendrait davantage d’un prestataire technique, que d’un centre d’appels proprement dit.
Nous n’avons pas de raison de penser que cette fuite de données puisse concerner Axialys ou nos clients. Mais il nous paraît utile d’adresser les préoccupations autour de ces sujets, dans la mesure où la sécurité de l’accès aux données de nos clients fait l’objet d’une attention importante.
Les mesures de sécurisation des données chez Axialys
Nous avons, au fil du temps, mis en place un ensemble de mesures autour de 3 aspects, que nous vous exposons ci-après, visant à réduire à tous les niveaux les risques d’exposition et de fuite de données.
Sécuriser l’infrastructure
Nous mettons en oeuvre chez Axialys des mesures standards de l’industrie pour protéger l’accès à nos systèmes et réseaux, incluant :
- la protection au niveau des réseaux, par des systèmes de firewall allant du niveau 2 au niveau 7 (WAF), avec une revue régulière des règles mises en place et des tentatives d’intrusion/attaques constatées ;
- la protection des systèmes par des mécanismes d’accès utilisant des protocoles cryptés, et des règles d’authentification individuelles de niveau de sécurité élevé (clef cryptographiques plutôt que mots de passe) ;
- l’hébergement dans des datacenters certifiés, incluant, lorsqu’un accès physique aux infrastructures est prévu, des dispositions de contrôle limitant le seul accès aux collaborateurs Axialys autorisés.
Sécuriser les données stockées
C’est à nos yeux le sujet principal dont il est question ici. Nous avons chez Axialys investi ces dernières années sur des modalités de stockage des enregistrements visant précisément à éviter un tel scénario, par les mécanismes suivants :
- nous proposons à nos clients un stockage des enregistrements sur des infrastructures variées, contrôlées par nos clients le cas échéant (hébergement de type S3). Le client décide seul de la destination de ses enregistrements, rendant une éventuelle fuite limitée à un seul client.
- nous proposons de l’encryption “at rest”, contrôlée par une clef partagée entre Axialys et le client (mais pas l’hébergeur tiers), garantissant qu’une fuite de données côté hébergeur serait sans conséquence.
- enfin, nous stockons de façon totalement séparée les données audio des méta informations (données d’appel). Nos enregistrements sont stockés en utilisant des identifiants uniques non rattachables à des données personnelles.
Ces mesures permettent donc de limiter intrinsèquement les conséquences qui pourraient être liées à un accès non autorisé aux données de nos clients.
Sécuriser les échanges, la sous-traitance et les aspects humains
Il apparaît, compte tenu des mesures mises en œuvre, que l’un des principaux risques demeurant est celui d’une erreur ou d’une complicité humaine, chez nous, chez un partenaire ou chez nos clients.
En ce qui concerne nos clients, nous leur faisons évidemment confiance pour la bonne gestion des données qui sont, rappelons-le, les leurs.
Pour ce qui est de nos partenaires susceptibles d’avoir accès aux données de nos clients, nous en limitons au maximum le nombre. Dans le cas des enregistrements d’appels, nous pouvons être amenés à partager des données avec un prestataire tiers réalisant de la transcription textuelle. Le prestataire auquel nous faisons appel est basé en France, n’a pas accès aux métadonnées des appels et ne stocke pas les enregistrements audio.
Enfin, en ce qui concerne les équipes Axialys, seul un très petit nombre de collaborateurs (expérimentés, et présents de longue date), au niveau de la gestion de nos infrastructures, est susceptible de pouvoir accéder – globalement – aux données de nos clients. Ces collaborateurs sont sensibilisés régulièrement aux enjeux spécifiques liés à la manipulation de données personnelles, et signataires d’engagements de bonne conduite. Les accès techniques aux données font par ailleurs l’objet d’un logging de contrôle.
Nous mettons notre double expertise d’opérateur télécom et d’éditeur de solutions de téléphonie cloud pour la relation client au service de nos clients pour leur garantir une expérience qualitative, personnalisée et sécurisée. Les équipes d’Axialys sont à votre écoute pour répondre à toutes vos interrogations et vous accompagner dans vos projets de téléphonie VoIP.
Nicolas BOUGUES, Chief Operating Officer d’Axialys