Chers clients,

Le 9 juin 2021, nous avons détecté une violation de données dans notre système. Une base de données non structurée contenant des journaux techniques a été exposée et consultée, sans que rien ne prouve jusqu’à présent que les données aient été exploitées.

Par souci de transparence, nous tenons à clarifier ce qui s’est passé. Dans le cadre d’une mise à niveau du système technique effectuée récemment, malgré les protocoles de sécurité en place, une base de données contenant des journaux techniques et des informations sur les données transmises à des systèmes externes a été exposée et consultée. Les PII (Personally Identifiable Information) des participants à un petit nombre de campagnes Qualifio de nos clients ont été divulguées.

Les clients qui n’ont pas d’intégration avec Qualifio dans leur compte n’ont pas été affectés, et tous les clients affectés n’ont pas été affectés de la même manière, différentes catégories de données ayant été divulguées.

Nos équipes techniques et commerciales ont été en contact étroit et continu avec les clients touchés depuis l’incident, les aidant à prendre toutes les mesures nécessaires et supplémentaires de leur côté. Il n’y a eu aucun impact sur le service fourni par Qualifio, sans aucun temps d’arrêt sur la plateforme.

Dès que nous avons été informés de la violation, nous avons immédiatement activé notre procédure de violation de données et corrigé le problème. Nous avons ensuite communiqué avec tous nos clients, en fournissant des détails supplémentaires à ceux qui ont été touchés. Toutes les mesures nécessaires ont été prises de notre côté pour sécuriser la base de données affectée et pour s’assurer qu’aucune de nos autres bases de données ne soit affectée par le même problème. Plusieurs autres mesures critiques ont été prises par la suite :

  • Un email expliquant la situation a été envoyé à tous nos clients, leur demandant de prendre les mesures nécessaires de leur côté, comme modifier la configuration des intégrations sur leur compte Qualifio.
  • Dans un souci de transparence, nous avons informé l’Autorité de Protection des Données en Belgique, et déposé une plainte auprès de la police et du CERT belge.
  • Nous avons mobilisé toutes nos ressources techniques pour résoudre le problème, analyser l’impact de la violation et déterminer l’étendue de l’exposition.
  • Nous avons mis en place une task force de support dédiée, gérée directement par les dirigeants de notre entreprise, qui étaient en communication directe avec nos clients impactés.

Nous avons envoyé un rapport officiel DPO aux clients concernés un peu plus de 24 heures après l’incident, afin que les autorités locales compétentes et le DPO de nos clients puissent agir en conséquence.
Un rapport technique actualisé et un plan d’action sur trois mois ont été communiqués aux DPD concernés le 1er juillet. Ce plan prévoit un audit externe de tous les changements et améliorations que nous apportons. Il est important de noter que, sur la base des différentes analyses menées en interne et en externe, nous n’avons trouvé aucune preuve que notre système ait été compromis de quelque manière que ce soit, au-delà de l’accès direct à la base de données exposée. Votre processus de collecte de données est en sécurité avec Qualifio.

Nous sommes profondément désolés de ce qui s’est passé et de l’impact que la violation a eu sur certains de nos clients. En tant que processeur de données, nous sommes soumis à des clauses de confidentialité strictes avec nos clients et ne pouvons pas fournir de détails supplémentaires sur les personnes touchées et dans quelle mesure.

Mais nous pouvons dire que la violation a touché le cœur de notre activité : VOUS, nos clients et bien sûr les personnes dont les données personnelles ont été affectées. La sécurisation de vos données est au cœur de tout ce que nous faisons et constitue une préoccupation majeure pour nous. Malheureusement, à cette occasion, nous avons raté le coche. Nous avons déjà mis en place des mesures pour sécuriser davantage notre infrastructure et nous ne nous arrêterons pas là.

La sécurité et l’architecture de notre système sont notre principale priorité, que nous prenons très au sérieux. Notre infrastructure technique est testée régulièrement, avec des tests de pénétration effectués régulièrement par nos clients et des auditeurs externes certifiés.

Nous avons beaucoup appris et grandi suite à cet incident, et nous nous assurerons que les leçons apprises nous aideront à éviter l’occurrence d’un tel incident à l’avenir.

Nous souhaitons exprimer l’engagement total et continu de Qualifio envers la sécurité de vos données, et notre promesse d’être totalement transparents dans notre communication avec vous. Nous nous efforcerons de travailler encore plus dur pour mériter la confiance que vous nous accordez.

Nous tenons également à vous remercier pour le soutien et les mots aimables que nous avons reçus de bon nombre d’entre vous.

Au nom de l’équipe Qualifio,
Cordialement,

Quentin Paquot, CEO
Olivier Simonis, co-fondateur
Laurent Mélon, CTO
Fabien Tramasure, DPO
Patrick Nollet, CISO