IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un étudiant en droit invoque des mesures disciplinaires injustes après avoir signalé une violation de données


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2019
    Messages
    1 900
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2019
    Messages : 1 900
    Points : 37 164
    Points
    37 164
    Par défaut Un étudiant en droit invoque des mesures disciplinaires injustes après avoir signalé une violation de données
    Sécurité des données : un étudiant en droit dénonce des mesures disciplinaires injustifiées après avoir révélé une faille de sécurité,
    exposant des informations sensibles sur environ 800 étudiants

    Bartek Wytrzyszczewski, un étudiant en droit, a révélé une faille de sécurité des données à l'Inns of Court College of Advocacy (ICCA), exposant des informations sensibles sur environ 800 étudiants. Suite à ce signalement, l'ICCA a engagé une procédure disciplinaire contre lui, malgré le fait qu'il ait agi de manière responsable en informant l'établissement. Cette situation l'a contraint à quitter l'ICCA et à reprendre sa formation ailleurs. L'ICCA a minimisé la violation, la qualifiant de « problème technique ». Bien que Wytrzyszczewski ait été blanchi par le panel disciplinaire, cette expérience a gravement affecté sa motivation et ses perspectives de carrière.

    Wytrzyszczewski, 32 ans, a indiqué que cette expérience l'avait conduit à quitter l'ICCA et à reprendre ses études dans un autre établissement. L'ICCA, qui forme les futurs avocats, a signalé une violation de données à l'Information Commissioner's Office (ICO) en août 2023, après que Wytrzyszczewski ait alerté l'école que des fichiers sensibles concernant près de 800 étudiants étaient accessibles via le portail web de l'ICCA.

    Nom : Data_breachesB.png
Affichages : 6916
Taille : 27,1 Ko

    Cette faille de sécurité permettait aux étudiants d'accéder à des informations personnelles telles que des adresses e-mail, des numéros de téléphone et des données académiques, y compris les résultats d'examens et les établissements précédemment fréquentés. Les utilisateurs du portail web de l'ICCA pouvaient également voir des photos d'identité, des numéros d'identification étudiant et des informations sensibles comme les dossiers médicaux, le statut des visas, ainsi que des détails sur la grossesse ou les enfants. L'université a tenté de minimiser l'incident en le qualifiant de « problème technique ». Andy Russell, directeur des opérations de l'ICCA, a expliqué que, « en raison d'un problème technique, certains étudiants inscrits ayant effectué des recherches dans leur compte de messagerie ont reçu des résultats incluant certains fichiers du site SharePoint réservé au personnel de l'ICCA. »

    Après avoir obtenu de Wytrzyszczewski un engagement écrit de ne pas divulguer les informations qu'il avait découvertes, le collège a lancé une procédure disciplinaire contre lui. Wytrzyszczewski a expliqué qu'il était tombé sur ces fichiers par accident et qu'il les avait consultés en grand nombre pour pouvoir en rapporter le contenu avec précision. L'avocat stagiaire a précisé qu'il n'avait pas eu le droit à une représentation lors de l'audience disciplinaire de novembre 2023. Il a confié que cette procédure avait été éprouvante, estimant que le collège cherchait simplement à le « faire taire » et à le « punir » pour avoir signalé sa mauvaise gestion de la violation de données. « Je ne pense pas avoir commis la moindre faute », a-t-il affirmé. « J'ai agi avec intégrité en les alertant rapidement de ce problème. À mon avis, ils ont réagi de cette manière pour me faire taire et me punir. Leur comportement manque totalement d'intégrité et n'est pas éthique. »

    L'année dernière, l'ICCA a assuré qu'elle avait maîtrisé la violation du 20 août 2023. Cependant, Wytrzyszczewski a déclaré que l'université ne pouvait pas maintenir ces assurances car les journaux d'audit des données qu'elle détenait étaient limités à 90 jours et les données ayant fait l'objet d'une fuite pouvaient être consultées sur son portail web depuis 2022. Cela signifie que le collège ne peut rechercher les tentatives d'accès aux fichiers effectuées « que pour la période comprise entre le 18 mai 2023 et le 16 août 2023 ». Ces journaux ont montré qu'au moins sept personnes avaient accédé aux fichiers. L'ICO enquête sur plusieurs autres plaintes déposées par Wytrzyszczewski concernant l'ICCA.

    Ces plaintes concernent notamment le partage de ses données de santé personnelles avec l'éditeur de livres Thomson Reuters ; le partage avec Wytrzyszczewski des détails concernant environ 350 candidats à un cours de l'ICCA dans le cadre de la réponse à sa demande d'accès en octobre 2023 ; le fait de demander à Wytrzyszczewski, alors ancien étudiant, d'identifier tous les documents qu'il aurait pu leur envoyer après avoir signalé la violation de données d'octobre 2023, plutôt que de les identifier eux-mêmes ; et l'envoi à Wytrzyszczewski d'un courriel contenant des informations sensibles destinées à un autre étudiant.

    Les failles de sécurité de l'ICCA et la répression des lanceurs d'alerte

    Les lanceurs d’alertes sont des personnes qui signalent au sein d’une organisation concernée ou à une autorité extérieure ou qui divulguent au public des informations sur un acte répréhensible obtenu dans un contexte professionnel. Ils aident à prévenir les dommages et à détecter les menaces ou les nuisances à l'intérêt public qui pourraient autrement rester cachées. Et si elles ne sont pas abordées, elles peuvent parfois causer un grave préjudice à l'intérêt public.

    L'affaire de Bartek Wytrzyszczewski met en lumière plusieurs enjeux cruciaux concernant la gestion des données personnelles, l'éthique institutionnelle dans les établissements éducatifs et le traitement des lanceurs d'alerte. Wytrzyszczewski a agi de manière responsable en signalant une faille de sécurité majeure à l'Inns of Court College of Advocacy (ICCA), révélant des informations sensibles sur environ 800 étudiants. Cependant, au lieu de recevoir des remerciements pour avoir alerté sur cette violation de données, il a été soumis à une procédure disciplinaire, accusé de faute professionnelle et contraint de quitter l'institution. Cette réponse de l'ICCA soulève de sérieuses questions sur ses priorités et sa gestion des incidents de sécurité.

    Premièrement, la réaction de l'ICCA montre un manque flagrant de reconnaissance pour les lanceurs d'alerte. Plutôt que de traiter le problème de sécurité de manière transparente et proactive, l'ICCA a choisi de minimiser l'incident en le qualifiant de « problème technique ». Ce terme sous-estime gravement la gravité de la situation, où des informations personnelles sensibles étaient accessibles à des utilisateurs non autorisés. En qualifiant la faille de « problème technique », l'ICCA semble vouloir détourner l'attention de ses propres lacunes en matière de protection des données.

    Deuxièmement, la procédure disciplinaire engagée contre Wytrzyszczewski apparaît comme une tentative de dissuader d'autres étudiants ou employés de signaler des problèmes similaires à l'avenir. Cela crée un climat de peur et de répression, où la priorité est donnée à la protection de la réputation de l'institution plutôt qu'à la sécurité et au bien-être des étudiants. L'absence de représentation pour Wytrzyszczewski lors de l'audience disciplinaire et l'obtention d'un engagement écrit pour ne pas divulguer les informations découvertes témoignent d'une approche punitive et non collaborative de l'ICCA.

    De plus, bien que l'Information Commissioner's Office (ICO) ait été informé de l'incident, l'absence de mesures supplémentaires de leur part est préoccupante. L'ICO devrait jouer un rôle plus actif dans l'enquête et la résolution de telles violations pour garantir la protection des données personnelles et la responsabilisation des institutions.

    Enfin, les multiples plaintes supplémentaires déposées par Wytrzyszczewski contre l'ICCA, y compris le partage inapproprié de ses données de santé personnelles et d'autres informations sensibles, montrent que l'ICCA a des problèmes systémiques dans sa gestion des données. Ces incidents révèlent non seulement des failles techniques, mais aussi un manque de rigueur et de respect des normes éthiques dans la gestion des informations des étudiants.

    Un nouvel exemple de représailles contre les lanceurs d'alerte

    L'affaire Wytrzyszczewski rappelle celle de Davin Fischer, ancien mécanicien chez Boeing, qui a également subi des représailles après avoir dénoncé des pratiques dangereuses. Fischer a été rétrogradé puis licencié après avoir signalé que la pression pour accélérer la production des avions compromettait la sécurité. De même, John Barnett, un responsable qualité chez Boeing, a été contraint à une retraite anticipée après avoir dénoncé des défauts graves sur le 787 Dreamliner. Barnett a souffert de troubles de stress post-traumatique et a finalement été retrouvé mort dans son camion après avoir déposé une plainte pour licenciement abusif.

    Ces exemples montrent que la répression des lanceurs d'alerte est un problème récurrent et systémique dans de nombreuses organisations. Il est crucial que les institutions reconnaissent et protègent ceux qui osent signaler des failles et des pratiques non éthiques. La sécurité des données et l'intégrité institutionnelle doivent être des priorités absolues, et des mesures doivent être prises pour créer un environnement où les lanceurs d'alerte sont soutenus et non punis.

    Cette affaire souligne l'importance d'une gestion transparente et responsable des incidents de sécurité des données dans les établissements éducatifs. Les lanceurs d'alerte comme Wytrzyszczewski jouent un rôle crucial en signalant des failles qui autrement pourraient rester inconnues et non résolues. Les institutions doivent non seulement traiter ces incidents avec la gravité qu'ils méritent, mais aussi soutenir et protéger ceux qui mettent en lumière des problèmes systémiques. Il est impératif que des mesures soient prises pour renforcer la sécurité des données et promouvoir une culture de transparence et de responsabilité.

    Source : Bartek Wytrzyszczewski, former student at the Inns of Court College of Advocacy

    Et vous ?

    Quelle est votre opinion sur les accusations portées par l'étudiant Bartek concernant la faille de sécurité des données à l'ICCA ?

    Que pensez-vous de la procédure disciplinaire engagée contre l'étudiant Bartek après qu'il a révélé une faille de sécurité des données à l'ICCA ?

    Voir aussi :

    Les lanceurs d'alerte sont la conscience de la société, mais souffrent gravement, la souffrance des lanceurs d'alerte, un prix trop élevé pour la vérité

    Un autre lanceur d'alerte de Boeing affirme avoir fait l'objet de représailles pour avoir dénoncé des « raccourcis » pris dans la production, l'ingénieur signale des pratiques douteuses
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 572
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 572
    Points : 4 028
    Points
    4 028
    Par défaut
    ca me rappelle l'affaire de la yes card

  3. #3
    Expert confirmé
    Homme Profil pro
    Développeur
    Inscrit en
    Août 2003
    Messages
    1 305
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Charente Maritime (Poitou Charente)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : Août 2003
    Messages : 1 305
    Points : 4 200
    Points
    4 200
    Par défaut
    Dans un système américain, il aurait fallut exposer les données des étudiants et porter plainte ensuite pour être dédommager du préjudice subit

    La bonne volonté est mal vue

Discussions similaires

  1. Hongrie : un jeune de 18 ans arrêté après avoir signalé une faille
    Par Michael Guilloux dans le forum Sécurité
    Réponses: 13
    Dernier message: 28/07/2017, 14h33
  2. ouverture d'un formulaire après avoir coché une case
    Par bourguignon21 dans le forum VBA Access
    Réponses: 3
    Dernier message: 05/07/2007, 15h56
  3. Réponses: 5
    Dernier message: 25/01/2007, 10h53
  4. Réponses: 9
    Dernier message: 05/01/2007, 10h51
  5. Réponses: 1
    Dernier message: 15/06/2006, 18h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo