Brèche dans la protection des données : Questions et réponses

Le serveur touché comportait les données d’environ 9600 personnes ayant participé à des formations en communication ou à des examens du département Santé. La brèche dans la protection concerne les données personnelles de participants entre 2011 et 2024. Les données étaient utilisées pour l’administration des formations et aux examens.

Toutes les personnes concernées par la fuite de données et qui sont joignables par la BFH ont été informées par courriel le 14 mai 2024.

Si vous n’êtes pas certain d’avoir participé à une formation en communication ou à un examen du département Santé de la BFH entre 2011 et 2024 et que vous pensez pouvoir être concerné bien que vous n’ayez pas reçu de courriel de notre part, vous pouvez vous manifester à l’adresse e-mail suivante : datasupport@bfh.ch

Le nom, le prénom, le nom d’utilisateur et l’adresse e-mail BFH d’environ 2500 personnes étaient accessibles. Des coordonnées personnelles sont également concernées chez environ 3500 personnes. Chez environ 3400 autres personnes, seules les coordonnées personnelles étaient accessibles. Les données personnelles sont concernées par la brèche dans la protection selon différentes constellations : numéros de téléphone, adresses, dates de naissance, civilité, adresses e-mail privées et numéros de matricule.

Dans certains cas, des hachages MD5 de mots de passe ont également été rendus publics. Toutefois, il ne s’agit pas ici de mots de passe générés ou attribués personnellement, mais de mots de passe que le système a générés automatiquement. Ces mots de passe n’ont à aucun moment été distribués aux personnes, ils n’ont à aucun moment été modifiés ni utilisés pour une connexion manuelle. Ces mots de passe n’ont jamais été utilisés et sont à considérer comme un amas de données sans valeur, car la connexion s’effectuait via la BFH en tant que « Single Sign-On », c’est-à-dire avec des identifiants sécurisés par la haute école.

Si vous faites partie du groupe de personnes dont seuls le nom, le prénom, l’identifiant BFH abrégé et l’adresse e-mail BFH ont été rendus publics, nous vous recommandons de surveiller attentivement votre boite de réception de courriels BFH afin de détecter toute tentative d'hameçonnage. Vous pouvez à tout moment transférer les courriels suspects à l’adresse servicedesk@bfh.ch afin qu’ils soient examinés.

Si vous faites partie du groupe de personnes chez lesquelles des coordonnées personnelles ont également été rendues publiques, nous vous recommandons de surveiller attentivement les canaux concernés afin de détecter toute tentative d'hameçonnage et les prises de contact douteuses. Vous pouvez vous aussi transférer à tout moment les courriels suspects à l’adresse servicedesk@bfh.ch afin qu’ils soient examinés.

Nous avons informé les personnes concernées par courriel le 14 mai 2024.

Cela ne concerne pas les personnes dont seule une adresse e-mail BFH était disponible et n’était plus valide. Dans ces cas, il n’était pas possible pour nous de les informer. Nous avons renoncé à mener d’autres investigations concernant les coordonnées, car nous avons classé le risque d’une menace due à la publication de noms et prénoms seuls comme étant faible.

Si vous avez d’autres questions, vous pouvez vous manifester à l’adresse e-mail suivante : datasupport@bfh.ch

Nos investigations ont montré qu’environ 9600 personnes sont concernées par la fuite de données.

Dès la découverte de la fuite de données, l’accès aux données a été verrouillé. L’application dans son ensemble a été examinée par des experts internes et externes pour déceler d’éventuels risques de sécurité, et l’intégrité du système a été restaurée.

Par ailleurs, nous avons déclaré l’incident à l’Autorité de surveillance de la protection des données du canton sous 96 heures et coordonné les autres mesures, en particulier l’information volontaire des personnes touchées.

Lors du transfert des données sur un nouveau serveur en septembre 2022, une erreur est survenue au moment de la configuration initiale du nouveau serveur web. Cela n'a été constaté que récemment.

Pour la Haute école spécialisée bernoise, la sécurité des données est une priorité centrale. Au cours des dernières années, de grands efforts ont été fournis afin de garantir la sécurité des données :

  • En  juillet 2023, la BFH a introduit un système de gestion ISDS. Celui-ci définit un standard pour la gestion des données et des informations. Il tient compte de toutes les prescriptions à suivre pour la protection des données personnelles et la garantie de la sécurité des informations. Le concept est actuellement déployé dans toute la BFH.

  • À l’heure actuelle, tous les collaborateurs doivent suivre de vastes formations de sensibilisation (tentatives d’hameçonnage) et des formations à la détection des dangers. Celles-ci ont lieu depuis septembre 2023.

  • Toutes les informations sur la sécurité de l’information et la protection des données peuvent être consultées dans l’Intranet (MyBFH). En outre, depuis 2023, chaque département nomme des coordinateurs JSDS qui communiquent les exigences en matière de protection des données dans les départements et, en plus du CISO qui agit de façon centralisée et de la personne chargée de la protection des données, apportent un soutien en cas de questions.