Bartek Wytrzyszczewski, un tudiant en droit, a rvl une faille de scurit des donnes l’Inns of Court College of Advocacy (ICCA), exposant des informations sensibles sur environ 800 tudiants. Suite ce signalement, l’ICCA a engag une procdure disciplinaire contre lui pour faute professionnelle, malgr le fait qu’il ait agi de manire responsable en informant l’tablissement. Cette situation l’a contraint quitter l’ICCA et reprendre sa formation ailleurs. L’ICCA a minimis la violation, la qualifiant de problme technique . Bien que Wytrzyszczewski ait t blanchi par le panel disciplinaire, cette exprience a gravement affect sa motivation et ses perspectives de carrire. L’Information Commissioner’s Office (ICO) a t inform de l’incident, mais n’a pas pris de mesures supplmentaires. Wytrzyszczewski a galement dpos plusieurs plaintes supplmentaires contre l’ICCA pour des violations rptes de la protection des donnes, toujours en cours d’investigation.
Wytrzyszczewski, 32 ans, a indiqu que cette exprience l’avait conduit quitter l’ICCA et reprendre ses tudes dans un autre tablissement. L’ICCA, qui forme les futurs avocats, a signal une violation de donnes l’Information Commissioner’s Office (ICO) en aot 2023, aprs que Wytrzyszczewski ait alert l’cole que des fichiers sensibles concernant prs de 800 tudiants taient accessibles via le portail web de l’ICCA.
Cette faille de scurit permettait aux tudiants d’accder des informations personnelles telles que des adresses e-mail, des numros de tlphone et des donnes acadmiques, y compris les rsultats d’examens et les tablissements prcdemment frquents. Les utilisateurs du portail web de l’ICCA pouvaient galement voir des photos d’identit, des numros d’identification tudiant et des informations sensibles comme les dossiers mdicaux, le statut des visas, ainsi que des dtails sur la grossesse ou les enfants. L’universit a tent de minimiser l’incident en le qualifiant de problme technique . Andy Russell, directeur des oprations de l’ICCA, a expliqu que, en raison d’un problme technique, certains tudiants inscrits ayant effectu des recherches dans leur compte de messagerie ont reu des rsultats incluant certains fichiers du site SharePoint rserv au personnel de l’ICCA.
Aprs avoir obtenu de Wytrzyszczewski un engagement crit de ne pas divulguer les informations qu’il avait dcouvertes, le collge a lanc une procdure disciplinaire contre lui. Wytrzyszczewski a expliqu qu’il tait tomb sur ces fichiers par accident et qu’il les avait consults en grand nombre pour pouvoir en rapporter le contenu avec prcision. L’avocat stagiaire a prcis qu’il n’avait pas eu le droit une reprsentation lors de l’audience disciplinaire de novembre 2023. Il a confi Computer Weekly que cette procdure avait t prouvante, estimant que le collge cherchait simplement le faire taire et le punir pour avoir signal sa mauvaise gestion de la violation de donnes. Je ne pense pas avoir commis la moindre faute , a-t-il affirm. J’ai agi avec intgrit en les alertant rapidement de ce problme. mon avis, ils ont ragi de cette manire pour me faire taire et me punir. Leur comportement manque totalement d’intgrit et n’est pas thique.
L’anne dernire, l’ICCA a assur qu’elle avait matris la violation du 20 aot 2023. Cependant, Wytrzyszczewski a dclar que l’universit ne pouvait pas maintenir ces assurances car les journaux d’audit des donnes qu’elle dtenait taient limits 90 jours et les donnes ayant fait l’objet d’une fuite pouvaient tre consultes sur son portail web depuis 2022. Cela signifie que le collge ne peut rechercher les tentatives d’accs aux fichiers effectues que pour la priode comprise entre le 18 mai 2023 et le 16 aot 2023 . Ces journaux ont montr qu’au moins sept personnes avaient accd aux fichiers. L’ICO enqute sur plusieurs autres plaintes dposes par Wytrzyszczewski concernant l’ICCA.
Ces plaintes concernent notamment le partage de ses donnes de sant personnelles avec l’diteur de livres Thomson Reuters ; le partage avec Wytrzyszczewski des dtails concernant environ 350 candidats un cours de l’ICCA dans le cadre de la rponse sa demande d’accs en octobre 2023 ; le fait de demander Wytrzyszczewski, alors ancien tudiant, d’identifier tous les documents qu’il aurait pu leur envoyer aprs avoir signal la violation de donnes d’octobre 2023, plutt que de les identifier eux-mmes ; et l’envoi Wytrzyszczewski d’un courriel contenant des informations sensibles destines un autre tudiant.
Les failles de scurit de l’ICCA et la rpression des lanceurs d’alerte
Les lanceurs dalertes sont des personnes qui signalent au sein dune organisation concerne ou une autorit extrieure ou qui divulguent au public des informations sur un acte rprhensible obtenu dans un contexte professionnel. Ils aident prvenir les dommages et dtecter les menaces ou les nuisances l’intrt public qui pourraient autrement rester caches. Et si elles ne sont pas abordes, elles peuvent parfois causer un grave prjudice l’intrt public.
L’affaire de Bartek Wytrzyszczewski met en lumire plusieurs enjeux cruciaux concernant la gestion des donnes personnelles, l’thique institutionnelle dans les tablissements ducatifs et le traitement des lanceurs d’alerte. Wytrzyszczewski a agi de manire responsable en signalant une faille de scurit majeure l’Inns of Court College of Advocacy (ICCA), rvlant des informations sensibles sur environ 800 tudiants. Cependant, au lieu de recevoir des remerciements pour avoir alert sur cette violation de donnes, il a t soumis une procdure disciplinaire, accus de faute professionnelle et contraint de quitter l’institution. Cette rponse de l’ICCA soulve de srieuses questions sur ses priorits et sa gestion des incidents de scurit.
Premirement, la raction de l’ICCA montre un manque flagrant de reconnaissance pour les lanceurs d’alerte. Plutt que de traiter le problme de scurit de manire transparente et proactive, l’ICCA a choisi de minimiser l’incident en le qualifiant de problme technique . Ce terme sous-estime gravement la gravit de la situation, o des informations personnelles sensibles taient accessibles des utilisateurs non autoriss. En qualifiant la faille de problme technique , l’ICCA semble vouloir dtourner l’attention de ses propres lacunes en matire de protection des donnes.
Deuximement, la procdure disciplinaire engage contre Wytrzyszczewski apparat comme une tentative de dissuader d’autres tudiants ou employs de signaler des problmes similaires l’avenir. Cela cre un climat de peur et de rpression, o la priorit est donne la protection de la rputation de l’institution plutt qu’ la scurit et au bien-tre des tudiants. L’absence de reprsentation pour Wytrzyszczewski lors de l’audience disciplinaire et l’obtention d’un engagement crit pour ne pas divulguer les informations dcouvertes tmoignent d’une approche punitive et non collaborative de l’ICCA.
De plus, bien que l’Information Commissioner’s Office (ICO) ait t inform de l’incident, l’absence de mesures supplmentaires de leur part est proccupante. L’ICO devrait jouer un rle plus actif dans l’enqute et la rsolution de telles violations pour garantir la protection des donnes personnelles et la responsabilisation des institutions.
Enfin, les multiples plaintes supplmentaires dposes par Wytrzyszczewski contre l’ICCA, y compris le partage inappropri de ses donnes de sant personnelles et d’autres informations sensibles, montrent que l’ICCA a des problmes systmiques dans sa gestion des donnes. Ces incidents rvlent non seulement des failles techniques, mais aussi un manque de rigueur et de respect des normes thiques dans la gestion des informations des tudiants.
Un nouvel exemple de reprsailles contre les lanceurs d’alerte
L’affaire Wytrzyszczewski rappelle celle de Davin Fischer, ancien mcanicien chez Boeing, qui a galement subi des reprsailles aprs avoir dnonc des pratiques dangereuses. Fischer a t rtrograd puis licenci aprs avoir signal que la pression pour acclrer la production des avions compromettait la scurit. De mme, John Barnett, un responsable qualit chez Boeing, a t contraint une retraite anticipe aprs avoir dnonc des dfauts graves sur le 787 Dreamliner. Barnett a souffert de troubles de stress post-traumatique et a finalement t retrouv mort dans son camion aprs avoir dpos une plainte pour licenciement abusif.
Ces exemples montrent que la rpression des lanceurs d’alerte est un problme rcurrent et systmique dans de nombreuses organisations. Il est crucial que les institutions reconnaissent et protgent ceux qui osent signaler des failles et des pratiques non thiques. La scurit des donnes et l’intgrit institutionnelle doivent tre des priorits absolues, et des mesures doivent tre prises pour crer un environnement o les lanceurs d’alerte sont soutenus et non punis.
En conclusion, cette affaire souligne l’importance d’une gestion transparente et responsable des incidents de scurit des donnes dans les tablissements ducatifs. Les lanceurs d’alerte comme Wytrzyszczewski jouent un rle crucial en signalant des failles qui autrement pourraient rester inconnues et non rsolues. Les institutions doivent non seulement traiter ces incidents avec la gravit qu’ils mritent, mais aussi soutenir et protger ceux qui mettent en lumire des problmes systmiques. Il est impratif que des mesures soient prises pour renforcer la scurit des donnes et promouvoir une culture de transparence et de responsabilit.
Source : Bartek Wytrzyszczewski, former student at the Inns of Court College of Advocacy
Et vous ?
Quelle est votre opinion sur les accusations portes par l’tudiant Bartek concernant la faille de scurit des donnes l’ICCA ?
Que pensez-vous de la procdure disciplinaire engage contre l’tudiant Bartek aprs qu’il a rvl une faille de scurit des donnes l’ICCA ?
Voir aussi :