Dans la nuit du 22 au 23 juillet, la société Creos a été la victime d’une cyberattaque. C’est le groupe « Alphv » qui a revendiqué l’attaque. Dans un communiqué, les auteurs de l’attaque font savoir qu’ils ont volé du matériel sensible tels que des données liées à des contrats et à des codes d’accès et qu’il est dans leur intention de les publier.

Dans ce contexte, j’aimerais poser les questions suivantes au ministre :

• Est-ce qu’il y a effectivement eu vol de données personnelles par les hackers ? Est-ce que le vol concerne aussi des numéros de comptes bancaires ?
• Si oui, est-ce que le ministère sait si ces données ont été publiées ?
• Est-ce que la CNPD a été informé sur cette cyberattaque ? Si ce n’est pas le cas, pourquoi cela ne s’est pas fait ?
• Est-ce que les clients de Creos ont été informés respectivement sur cette attaque et sur la fuite de leurs données, conformément au RGPD ? Si non, pourquoi cela n’a pas été fait ?
• Comment la cyberattaque a-t-elle pu se faire et est-ce que les points faibles ont pu être éliminés entretemps ?
• Quelles mesures ont été mises en place afin de s’assurer que les clients concernés ne subissent pas de conséquences négatives de la cyberattaque (vol d’identité, opérations bancaires non autorisées, …) ?