Espace membre :

Suivez-nous

Zeop : le directeur relaxé après une fuite évitée

Partager sur :
Zeop : le directeur relaxé après une fuite évitée

Fuite de données colmatée chez l’opérateur réunionnais Zeop : poursuivi à tort, le directeur relaxé


Le tribunal correctionnel de Saint-Denis a relaxé mardi 21 avril Emmanuel André, directeur général de l'opérateur internet réunionnais Zeop. Il était poursuivi pour défaut de sécurisation des données clients, alors qu'il avait lui-même alerté la CNIL en avril 2024 sur un incident de sécurité.

Tout commence par une erreur humaine en décembre 2023. Un vendeur de Zeop se connecte depuis son ordinateur personnel, que son fils utilise également pour jouer en ligne. Le navigateur est piraté : un malware récupère ses identifiants professionnels, ouvrant l'accès au fichier clients complet de l'opérateur. La faille est détectée en avril 2024 par le nouveau responsable de la sécurité informatique, lors d'une analyse de vulnérabilité. Ces accès se retrouvent en vente sur le dark web, proposés à 1 000 dollars. Aucun acheteur ne s'est manifesté. Aucune fuite n'a été constatée.

La CNIL et les clients sont informés en août 2024. Zeop renforce aussitôt sa politique de sécurité, notamment les procédures d'authentification des collaborateurs. « Un plan validé par la CNIL et l'Agence nationale de sécurité des systèmes d'information », rappelle Emmanuel André. Malgré cette mise en conformité, le dossier instruit par l'office anti-cybercriminalité (OFACC) est transmis au parquet. La société et son directeur sont poursuivis pour « traitement de données à caractère personnel sans mesure assurant la sécurité des données ».

La procédure achoppe toutefois sur un point : la citation vise Emmanuel André comme personne physique, et non comme représentant légal de la personne morale. « Je ne soutiendrai donc pas l'accusation puisqu'on a cité la mauvaise personne », reconnaît la procureure Ludivine Fathi à l'audience. Elle requiert la relaxe, tout en notant que « l'enquête a montré que des données étaient traitées sans protection suffisante. Mais le plus important, c'est que Zeop s'est mise en conformité ».

Me Nicolas Sokoloff, avocat de la défense, dénonce le traitement du dossier. « C'est comme si Zeop s'était auto-dénoncée en faisant cette alerte, alors qu'elle a pris toutes les bonnes mesures dès que cette faille a été constatée. » Il rappelle que « les véritables fautifs, ce sont ces cyber-délinquants qui viennent aspirer des données pour les monnayer. On l'a encore vu hier, même l'Agence nationale des titres sécurisés a été piratée ! »

Après délibéré, le tribunal relaxe le directeur général, non seulement pour l'erreur de citation mais aussi « en l'absence d'infraction caractérisée », précise la présidente Caroline Meunier. Le salarié à l'origine de la faille n'a pas été sanctionné : il a témoigné lors d'un séminaire interne sur la cybersécurité, pour sensibiliser ses collègues aux risques d'une manipulation en apparence anodine.

0 commentaire

Écrivez votre commentaire...
💬

Aucun commentaire pour le moment. Soyez le premier !