REPLAY FIDELITY CARDS
CYBERATTAQUE SUR LES SYSTÈMES DE FASHION BOX S.P.A. – SOCIÉTÉ ACTIVE DANS LA PRODUCTION ET LA DISTRIBUTION AU NIVEAU MONDIAL DE VÊTEMENTS, ACCESSOIRES ET CHAUSSURES SOUS LA MARQUE DÉPOSÉE «REPLAY» (ci-après également « la Société »)
Ce qui s'est passé ?
Le 29 janvier 2025, le fournisseur en charge de la gestion du centre de données de la Société, une multinationale de prestige reconnu (ci-après «Fournisseur informatique»), nous a informés qu'il avait détecté une cyberattaque par un tiers non autorisé (ci-après «Hacker»), identifié plus tard comme un cybercriminel (ou un groupe de cybercriminels).
Le Hacker, par une attaque par force brute, a forcé l'accès aux serveurs de Fashion Box S.p.A. Une attaque par force brute est une méthode de piratage informatique qui tente de déchiffrer les mots de passe, les identifiants de connexion et les clés cryptographiques en utilisant la puissance de calcul pour essayer toutes les solutions théoriquement possibles jusqu'à ce que la bonne soit trouvée.
Le pirate informatique semble avoir réussi, malgré les multiples mesures de sécurité mises en œuvre, à copier et à exfiltrer plusieurs documents des serveurs, provoquant une perte de confidentialité de certaines informations contenues dans les systèmes de la société.
La cyberattaque semble avoir affecté uniquement les serveurs de Fashion Box S.p.A., tandis que les infrastructures des filiales étrangères n'ont pas été affectées. Cependant, en tant que société mère d'un groupe de sociétés situées dans divers pays européens et non européens, la société peut entrer en contact avec et traiter non seulement des informations relatives aux parties intéressées résidant en Italie, mais également celles appartenant à des personnes concernées résidant à l'étranger. Ce traitement peut être effectué, selon le cas, en tant que responsable du traitement ou sous-traitant des données conformément au règlement général européen sur la protection des données n° 2016/679 («RGPD»).
À qui s'adresse cette communication et quelles sont les informations concernées ?
Fashion Box S.p.A. a immédiatement pris des mesures pour déterminer ce qui se passait et, après avoir mené des enquêtes et des contrôles complexes, il est malheureusement apparu que des données enregistrées dans les systèmes informatiques gérés par la Société elle-même avaient été volées, ce qui pourrait concerner non seulement les informations de la Société, mais également les données personnelles des parties prenantes internes et externes (employés, anciens employés, collaborateurs, consultants et fournisseurs).
Les données concernées – que nous signalons à nouveau après avoir envoyé des communications individuelles à tous les sujets que nous connaissons conformément à l'art. 34 du RGPD – se limitent actuellement aux informations liées à la gestion des relations entre Fashion Box et les parties prenantes. Ces données peuvent donc appartenir, en fonction du type de personne concernée, aux catégories suivantes : données d'identification, données de contact, données relatives aux documents d'identification et/ou de reconnaissance, données économiques (par exemple IBAN) et toutes données relatives à l'appartenance syndicale, à condition qu'elles aient été fournies à la Société.
Ce que nous avons fait ?
Depuis la détection de l'incident, Fashion Box S.p.A. et le fournisseur informatique ont travaillé en synergie pour adopter toutes les mesures nécessaires pour contenir les effets de l'attaque informatique, analyser son origine et renforcer les systèmes de protection des informations de l'entreprise.
De même, conformément aux obligations imposées par le RGPD, nous avons rapidement notifié l'incident de sécurité aux autorités de protection des données personnelles en Italie et dans certains autres pays concernés (à ce jour : Autriche, France, Allemagne, Pays-Bas, Espagne, Suède, Suisse et Royaume-Uni). De plus, Fashion Box S.p.A. a déposé une plainte auprès de l'autorité judiciaire compétente.
Les équipes de Fashion Box S.p.A. chargées de la gestion de l'incident travaillent activement à résoudre la cyberattaque dans les plus brefs délais. En outre, la Société révise régulièrement ses systèmes informatiques, en introduisant constamment des mises à jour et des améliorations.
Contacts
Pour toute précision ou tout doute, vous pouvez contacter le délégué à la protection des données du Groupe à l'adresse suivante : dpo@replay.it.
This form is protected by reCAPTCHA - the Google Privacy Policy and Terms of Service apply.
This form is protected by reCAPTCHA - the Google Privacy Policy and Terms of Service apply.