Vulnérabilité relative aux appareils mobiles

chaouda Protection des données, Vie privée et professionelle

Vulnérabilité relative aux appareils mobiles

La DG DIGIT a envoyé vendredi soir un message à (certains) collègues au sujet de « l’incident de cybersécurité du 30 janvier 2026 » ( lien ), indiquant que cet incident « aurait pu permettre l’accès aux noms et numéros de téléphone mobile du personnel ». L’incident aurait été rapidement maîtrisé et aucun appareil mobile n’aurait été compromis à ce jour.

L’incident en lui-même est extrêmement grave et nécessite une communication approfondie. Il est certes utile d’être informé de la réactivité de la DG DIGIT ainsi que de toutes informations communiquées sur ce sujet mais, pour R&D, les véritables questions sont autres, notamment les suivantes :

Points clés nécessitant des éclaircissements :

  • · Les « numéros de téléphone mobile du personnel » font-ils uniquement référence aux numéros de téléphone mobile professionnels? Les numéros de téléphone privés, de plus en plus utilisés pour les applications institutionnelles et l’authentification ont-ils également été affectés ?
  • · Si des numéros de téléphone privés ont été exposés, est-il possible que les pirates aient désormais accès à la combinaison hautement sensible des trois éléments suivants : fonctionnaire européen + numéro de téléphone personnel + applications institutionnelles.
  • · De nombreux collègues utilisent leur téléphone personnel pour l’authentification, les applications de la Commission, myPMO, la messagerie et les contacts externes. La fuite d’un numéro privé n’est donc pas un problème mineur ; elle augmente considérablement le risque de phishing ciblé, de faux messages d’assistance informatique, d’interception de codes de vérification et de contacts indésirables sur les applications privées.
  • · Les collègues utilisent également des adresses électroniques privées pour la récupération de leur compte. Une confirmation claire que celles-ci n’ont pas été divulguées serait rassurante.

De plus, cette communication n’a pas été envoyée à l’ensemble du personnel. Cela signifie-t-il que ceux qui l’ont reçue sont ceux dont les numéros ont été divulgués ? Ou l’inverse ? S’agit-il d’une sélection aléatoire des destinataires ? Un message clair et cohérent est nécessaire pour éviter toute confusion et toute rumeur.

Lorsque l’institution s’appuie sur des appareils personnels pour des tâches professionnelles, les collègues ont droit à une transparence totale si des incidents se produisent. Bien qu’aucun système informatique ne soit jamais totalement sécurisé, R&D attend de la DIGIT une explication de comment cet incident s’est produit, qui est concerné, ce que les collègues concernés doivent faire et quelles mesures seront prises pour éviter à l’avenir l’exposition des données personnelles des collègues?

Les « ironies du destin » pour notre administration

La plus grande ironie de cet incident est qu’il survient à un moment où R&D, et d’autres syndicats, négocient avec l’administration (DG HR et secrétaire général) une proposition de décision de la Commission sur les «moyens de communication interne d’urgence», dans laquelle il est prévu que «les numéros de téléphone mobile privés doivent être collectés et stockés à l’aide d’un outil informatique dédié pour des raisons de sécurité, de continuité des activités et de travail. Les numéros de téléphone mobile privés stockés dans cet outil informatique dédié ne devraient être accessibles qu’à certains membres du personnel qui en ont besoin pour exercer leurs fonctions de supérieurs hiérarchiques, pour assurer la continuité des activités ou pour des raisons de sécurité ou de sûreté, sur la base du principe du « besoin d’en connaître ». »

La sécurité de nos données personnelles privées n’est pas négociable et l’incident récent montre que la Commission n’a pas réussi à les sécuriser. Leur sécurisation est une condition nécessaire sans laquelle les représentants du personnel ne continueront pas à participer à toute négociation prévoyant le stockage de nos numéros de téléphone mobile personnels ou d’autres informations personnelles sensibles stockées dans les outils de la Commission.

La deuxième ironie du sort est que cet incident coïncide avec la période pendant laquelle l’ENISA, l’agence de régulation pour la cybersécurité, assure la présidence tournante de l’EUAN (Réseau des agences européennes). Ce n’est pas mal du tout pour nos experts en cybersécurité qui, selon les informations, ont également « fait la une des journaux » pour avoir publié leur rapport sur les menaces de cybersécurité utilisant l’intelligence artificielle, sans en rendre compte correctement ( EU-Sicherheitsbehörde blamiert sich mit KI-Einsatz

Cristiano SEBASTIANI,

Président

No related posts.

You May Also Like

R&D félicité pour son travail et la qualité de ses services

pinomar

CCR: Pourriez-vous un jour devenir Directeur?

pinomar

Lettre ouverture au Président de la Commission Européenne

chaouda