Le 6 novembre 2023, à la suite de l’indisponibilité de l’application constatée par l’AEFE, la société ELAP a mené des investigations ayant abouti à la découverte d’une intrusion informatique sur l’un des serveurs dédiés exclusivement à l’AEFE, un rançongiciel y ayant été déployé. ELAP a immédiatement pris toutes les mesures nécessaires pour sécuriser la plateforme. Les garanties de sécurité ayant été ensuite fournies par ELAP, l’AEFE a autorisé ELAP à rétablir le service le 15 novembre.
La société ELAP reste mobilisée pour accompagner l’AEFE et transmettre toutes les informations disponibles aux autorités.
Les investigations menées par ELAP et ses prestataires ont confirmé le 19 novembre que l’AEFE est le seul client touché et qu’une fuite de données a été effective. L’AEFE a signalé l’incident auprès de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a porté plainte auprès des autorités judiciaires et a effectué une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL).
Les investigations se poursuivent afin de recenser très précisément toutes les données à caractère personnel ayant pu être exfiltrées, certaines pouvant être des copies de pièces d’identité ou des coordonnées bancaires.
À ce jour, il apparaît que des données d’établissements, de personnels détachés auprès de l’AEFE et des services centraux sont concernées par cette fuite. Peuvent être concernés également les données de certains personnels recrutés localement ainsi que celles de fournisseurs. Dans toutes ses communications aux établissements, l’Agence a recommandé des mesures de précaution afin de se prémunir de toute action malveillante. Ces mesures seront relayées aux personnels des établissements.
Les analyses visant à déterminer précisément les personnes concernées prennent du temps. La communication de ce jour est un moyen pour l’AEFE d’informer largement les publics et communautés, et leur permettre de mettre en œuvre les recommandations données, en complément des communications adressées localement. L’Agence remercie tous les interlocuteurs de leur compréhension et leur mobilisation afin de réduire autant que possible les conséquences de cette attaque.
L’AEFE rappelle que le fait d’extraire, détenir, reproduire, transmettre frauduleusement les données d’un traitement automatisé constitue un délit pénal.
Una aplicación financiera editada por ELAP y utilizada por la AEFE sufrió un incidente de seguridad el 5 de noviembre. La AEFE informa a su público y le comunica las medidas de precaución que debe adoptar para protegerse de cualquier acción malintencionada.
El 6 de noviembre de 2023, a raíz de la indisponibilidad de la aplicación observada por la AEFE, la ELAP llevó a cabo investigaciones que permitieron descubrir una intrusión informática en uno de los servidores dedicados exclusivamente a la AEFE, donde se había desplegado un ransomware. ELAP tomó inmediatamente todas las medidas necesarias para asegurar la plataforma. Dado que ELAP ofreció luego las garantías de seguridad, la AEFE autorizó a ELAP a restablecer el servicio el 15 de noviembre.
ELAP sigue movilizada para apoyar a la AEFE y transmitir toda la información disponible a las autoridades.
Las investigaciones llevadas a cabo por ELAP y sus proveedores de servicios confirmaron el 19 de noviembre que la AEFE era el único cliente afectado y que se había producido una fuga de datos. La AEFE comunicó el incidente a la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI), presentó una denuncia ante las autoridades judiciales y realizó una declaración ante la Comisión Nacional de Informática y Libertades (CNIL).
Continúan las investigaciones para identificar con precisión todos los datos personales que pueden haber sido exfiltrados, algunos de los cuales pueden ser copias de documentos de identidad o datos bancarios.
Hasta la fecha, parece que los datos de los establecimientos, del personal “détaché” de la AEFE y de los servicios centrales están afectados por esta filtración. También pueden estar afectados los datos de cierto personal contratado localmente y de proveedores. En todas sus comunicaciones a los establecimientos, la Agencia ha recomendado medidas de precaución para protegerse de cualquier acción maliciosa. Estas medidas se transmitirán al personal de los establecimientos.
Los análisis para determinar exactamente las personas afectadas llevan su tiempo. La presente comunicación es un medio para la AEFE de informar de manera amplia a sus públicos y comunidades en general, y les permite poner en práctica las recomendaciones dadas, además de las comunicaciones enviadas localmente. La Agencia agradece a todos sus interlocutores por su comprensión y sus esfuerzos por minimizar las consecuencias de este ataque.
La AEFE recuerda que consituye un delito penal la extracción, retención, reproducción o transmisión fraudulenta de datos de un sistema de tratamiento automatizado.