Une application financière éditée par la société ELAP et utilisée par l’AEFE a fait face à un incident de sécurité le 5 novembre dernier. L’AEFE informe ses publics et leur transmet des mesures de précaution à mettre en place afin de se prémunir contre toute action malveillante.
Le 6 novembre 2023, à la suite de l’indisponibilité de l’application constatée par l’AEFE, la société ELAP a mené des investigations ayant abouti à la découverte d’une intrusion informatique sur l’un des serveurs dédiés exclusivement à l’AEFE, un rançongiciel y ayant été déployé. ELAP a immédiatement pris toutes les mesures nécessaires pour sécuriser la plateforme. Les garanties de sécurité ayant été ensuite fournies par ELAP, l’AEFE a autorisé ELAP à rétablir le service le 15 novembre.
La société ELAP reste mobilisée pour accompagner l’AEFE et transmettre toutes les informations disponibles aux autorités.
Les investigations menées par ELAP et ses prestataires ont confirmé le 19 novembre que l’AEFE est le seul client touché et qu’une fuite de données a été effective. L’AEFE a signalé l’incident auprès de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a porté plainte auprès des autorités judiciaires et a effectué une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL).
Les investigations se poursuivent afin de recenser très précisément toutes les données à caractère personnel ayant pu être exfiltrées, certaines pouvant être des copies de pièces d’identité ou des coordonnées bancaires.
Cette violation de données pourrait avoir un impact sur les données à caractère personnel des tiers référencés dans ELAP Finance dans le cadre de remboursement, de gestion de frais de scolarité, de marchés etc. Peuvent être concernés les données à caractère personnel des personnels du groupement de gestion, des parents d’élèves, des fournisseurs.
A ce jour, aucun incident n’a été signalé dans l’ensemble du réseau des établissements scolaires de l’AEFE. Toutefois il existe des risques potentiels qui pourraient concerner une utilisation malveillante des données personnelles, des mouvements bancaires suspects, une atteinte à la réputation, une perte de la confidentialité des données, des appels téléphoniques suspects, une tentative d’hameçonnage, etc.
Les acteurs concernés sont invités à informer leur banque, à avoir une vigilance accrue dans les prochains mois sur leurs comptes bancaires, à ne pas cliquer sur des e-mails suspects à cause de l’augmentation du phishing, à vérifier l’intégrité des données de vos comptes en ligne. Ces actions simples peuvent aisément les protéger.Les analyses visant à déterminer précisément les personnes concernées prennent du temps. La communication de ce jour est un moyen pour l’AEFE d’informer largement les publics et communautés, et leur permettre de mettre en œuvre les recommandations données, en complément des communications adressées localement. L’Agence remercie tous les interlocuteurs de leur compréhension et leur mobilisation afin de réduire autant que possible les conséquences de cette attaque.
L’AEFE rappelle que le fait d’extraire, détenir, reproduire, transmettre frauduleusement les données d’un traitement automatisé constitue un délit pénal.