@Zeb
Oui c’est bien ce que tout le monde imagine actuellement : Le front-end de Linxea, faisant face à Internet a été impacté par une cyber-attaque, dans ce cas un rançongiciel, a priori sans fuite de données. Ce n’est donc "que" le portail relation client qui est touché, les contrat d’assurances eux même (et les fonds) étant hébergés chez les assureurs, donc Spirica, Suravenir, et autres.
Toutefois, au bout d’une bonne semaine, Linxea n’a pas pu repartir ce qui indique pour moi :
- soit une absence de stratégie d’analyse de risque et du DRP (Disaster Recovery Plan) conséquent, pour ce service accès client pourtant critique pour un courtier en ligne : on parle tout de même ici de 100000 clients, avec environ 2,5-3 Milliards d’euros sous gestion,
- soit un DRP mais non implémenté ou non testé, c’est pareil
- soit une prise de risque (calculée) de Linxea qui a jugé que ce service à la clientèle n’avait pas besoin d’un RTO (Return Time to Operation) rapide
- soit un manque de moyens , bien que pour une PME de 50 personnes, 12 millions de CA (année 2022 chiffres pappers), 500k€ de resultats annuels , je pense qu’il y avait tout de même de quoi faire quelques investissements sur ces sujets
- soit un manque de volonté
- soit de l’incompétence
- …/…
- un mix de tout cela
Je n’aime aucune des hypothèses ci-dessus, et si je suis un peu en colère (cela se lit ?) c’est pour les raisons suivantes :
Le plus gros risque de passer par un courtier, ce n’est pas la pérennité de nos fonds en AV, car se sont les assureurs, professionnels eux, qui supportent ce risque et le gèrent avec leurs organisations, process et infrastructures sans communes mesures avec un courtier.
Le plus gros risque, c’est bien la sécurité des données personnelles confiées au courtier.
Il faut se rappeler ce que l’on a confié à Linxea pour ouvrir un dossier, informations qui transitent et sont probablement stockées sur le serveur front-end :
- Coordonnées complètes du souscripteur , y inclus mail et téléphone
- Coordonnées des bénéficiaires
- La situation patrimoniale du souscripteur
- Justificatif de domicile
- Pièces identité
- RIB
Si l’attaque s’était conclue par une fuite de données; avec ce qui est disponible dans les documents listés ci-dessus, mais quel carnage pour les 100000 clients !
A noter que ce risque n’est pas encore complètement écarté pour cette fois, et qu’il pourrait revenir demain au vu du niveau de Linxea durant le traitement de cette crise :
Donc la sécurité des données personnelles, et le risque conséquent de fuite d’information c’est LA responsabilité de Linxea.
Linxea est très certainement conscient de ce gros boulet qui est passé juste à côté. Ils ont fait le choix d’une communication délibéremment mensongère pour se faire oublier et minimiser leurs manquements sur leur responsabilité :
- insistance sur la sécurisation des fonds, ce qui est inutile, car tout le monde sait que ce sont les assureurs qui gèrent
- mensonge délibéré sur la nature de l’incident, ne parlant que d’incident technique, donc "sans risque"
- certitude très rapide sur l’absence de fuite de données (ouah les experts) , tout en étant incapable de restaurer des données au bout de une semaine … (ouah les même experts …) ni de donner de dates de retour au service (ouah les mêmes experts …)
En conclusion pour une telle société, ce comportement mensonger et immature me laisse penser qu’ils ne se corrigeront pas, et qu’ils ne s’en remettront peut-être pas.
Donc vraiment dommage, vraiment dommage, j’aimais bien les contrats distribués par Linxea, mais ma conclusion est de les quitter.
Je m’attelle déjà à cette première tâche.
Je trouverai bien ensuite un autre courtier, tout en sachant que le risque de retomber sur pareil ou pire existe.
Membres
Hors ligne
Hall of Fame