Des bandes de données de Swisscom retrouvées à la NZZ

La Neue Zürcher Zeitung NZZ était en possession de quatre bandes de données provenant de toute évidence de centres de calcul de Swisscom. C’est ce que la rédaction a fait savoir à l’entreprise. Il s’agit apparemment de données de sauvegarde datant des années 2008 à 2010, qui contiennent des e-mails internes. A l’heure actuelle, Swisscom ne sait pas si des données de clients sont également enregistrées sur ces supports. Trois bandes sont à nouveau chez Swisscom qui est en train de les analyser. Swisscom accorde une grande importance à la protection des données. Aussi l’entreprise a-t-elle aussitôt déposé une plainte pénale contre X et informé le préposé fédéral à la protection des données. Swisscom met tout en œuvre pour découvrir rapidement comment ces bandes ont pu quitter l’entreprise. Pour l’heure, on suppose une intention criminelle.

Une personne inconnue de Swisscom a transmis quatre bandes de données à la rédaction de la NZZ. D’après les informations dont nous disposons actuellement, les données sauvegardées sur ces bandes proviennent d’au moins deux centres de calcul de Swisscom et contiennent des copies de sauvegarde des années 2008 à 2010. Selon la rédaction de la NZZ, ces bandes de données contiennent des fichiers de sauvegarde de comptes e-mail de collaborateurs de Swisscom ainsi que des numéros de téléphone. Swisscom a reçu les bandes ce mardi et travaille d’arrache-pied à l’analyse de leur contenu. Pour l’heure, on ne peut pas exclure la présence éventuelle de données de clients sur ces bandes.

Contrôles stricts lors de l’utilisation et de l’élimination de supports de mémoire
Swisscom n’utilise plus les bandes de données apparues à la NZZ depuis 2012. A l’heure actuelle, les données ne sont plus que stockées sur disque dur. Elle applique les directives les plus strictes afin de garantir l’élimination sûre et durable de tels supports de données. Elle impose notamment le principe du double contrôle lors de l’élimination des supports de données des serveurs et de leur stockage dans des locaux d’élimination hautement sécurisés. Le transport des supports de données s’effectue également selon le même principe d’un double contrôle. Pour finir, ces derniers sont conduits à la destruction (broyeur) dans un convoi accompagné de deux véhicules. Des sociétés partenaires externes participent également à ce processus. Depuis début 2012, les disques durs sont démagnétisés dans le centre de calcul avant leur destruction afin de supprimer les données. Par ailleurs, le processus a été soumis à des dispositions encore plus strictes: tous les disques durs sont répertoriés pour pouvoir assurer leur traçabilité, de l’utilisation jusqu’à leur élimination. Les collaborateurs impliqués sont sensibilisés et formés spécialement à ces tâches. Une entreprise externe contrôle régulièrement le processus d’élimination, le dernier contrôle remontant à septembre 2013.