Une importante fuite de données chez SAP

Fuite de données sensibles et soupçon d’espionnage des employés chez SAP…  Le syndicat allemand Ver.di exige des clarifications. 

Le syndicat allemand du secteur des services Ver.di a indiqué dans une déclaration avoir découvert une fuite de données dans SAP Interactive Broadcast. Ce service en ligne développé en interne pour le personnel du concepteur de logiciels est utilisé pour les réunions du personnel et du comité d’entreprise. Le service dispose d’une fonction audio/video et offre la possibilité de poser des questions ou encore de voter.

Une traçabilité « triviale »

Autant d’informations qui ont logiquement vocation à rester anonymes. D’ailleurs, « l'interface du service indique explicitement que les questions sont anonymes par défaut », rappelle le syndicat dans un communiqué.

Or, selon les informations de Ver.di, il apparait que les questions et comportements de vote étaient attribués aux individus concernés. De plus, toutes ces données étaient ensuite automatiquement téléchargées sur les ordinateurs des participants aux réunions et accessibles à l’ensemble du personnel. « La traçabilité était triviale à établir. Un programmeur expérimenté aurait pu repérer le problème au premier coup d'œil », a déclaré Andreas Hahn, membre du comité d'entreprise de Ver.di.

Demande d’enquête approfondie

Alors que de nombreux employés se seraient inquiétés du sort de leurs données, Ver.di a expressément demandé que l'employeur mène « une enquête approfondie » sur l’incident. « La protection des données personnelles doit être sécurisée en priorité, tout comme le droit garanti à la liberté d'expression dans les entreprises. Là où cela n'est pas garanti, les employés deviennent des employés surveillés », a ajouté Christine Muhr, conseillère d'entreprise Ver.di SAP.

Cette dernière exige une transparence totale de SAP sur la durée de la traçabilité, « sur les événements internes qui en ont été affectés », et que toutes les données existantes soient supprimées « de manière traçable ». Enfin, Ver.di demande à ce que les détails techniques du fonctionnement du service soient partagés. La faille a été corrigée peu de temps après avoir été signalée par le syndicat aux services internes de cybersécurité de SAP.