La Force de défense nationale sud-africaine (SANDF) joue un rôle essentiel dans la sauvegarde de la souveraineté et de l’intégrité territoriale de l’Afrique du Sud. En tant qu’épine dorsale de l’infrastructure de défense de l’Afrique du Sud, la SANDF traite de grandes quantités d’informations personnelles, mais également des informations classifiées essentielles à ses opérations, à ses renseignements et à sa planification.
Compte tenu de cette fonction cruciale, la SANDF est censée maintenir le plus haut niveau de sécurité en matière de protection de ses systèmes de données. Cependant, il y a eu des allégations récentes selon lesquelles ses systèmes de données auraient été « compromis » par les cartes SIM d’un installateur et le Wi-Fi en libre accès.
City Press a rapporté que le système de gestion informatique qui sauvegarde toutes les bases de données internes de l’armée avait été compromis après qu’un entrepreneur ait installé des cartes SIM et ouvert l’accès via Wi-Fi aux systèmes de relais nationaux ; et les services de renseignement de la défense ont effectué une descente dans les stations relais pour retirer les puces électroniques et les cartes SIM.
Qu’un véritable « compromis » se soit produit ou non, cet incident souligne l’importance de mettre en œuvre des mesures de sécurité robustes, comme l’exige la loi sur la protection des informations personnelles de 2013 (« POPIA »). En particulier, l’article 19 de la POPIA exige spécifiquement que les parties responsables (en l’occurrence, la SANDF) prennent « des mesures techniques et organisationnelles appropriées et raisonnables » pour prévenir la perte, l’endommagement ou la destruction non autorisée d’informations personnelles ; et l’accès illégal ou le traitement des informations personnelles.
Dans ce cas, l’allégation selon laquelle les systèmes de données nationaux de la SANDF ont été compromis par les cartes SIM d’un installateur et l’accès Wi-Fi ouvert suggère une faiblesse dans le cadre de sécurité de la SANDF et expose potentiellement la SANDF à des violations de données, à une surveillance non autorisée et/ou même à espionnage qui pourrait avoir de lourdes conséquences pour la sécurité nationale.
Par conséquent, la mise en œuvre des mesures de sécurité appropriées requises par POPIA, telles que, entre autres, des canaux de communication cryptés et un accès restreint aux réseaux, est essentielle pour protéger et assurer la sécurité des informations personnelles. Ce prétendu « compromis » démontre le besoin urgent pour les organisations, en particulier celles qui traitent des informations personnelles spéciales ou celles qui évoluent dans des environnements de haute sécurité (comme la SANDF), d’évaluer et d’améliorer de manière proactive leurs mesures de sécurité et leurs politiques et procédures de protection des données. Ne pas se conformer présente un risque du point de vue de la POPIA, mais aussi (dans ce cas) met en danger la sécurité nationale.
Écrit par Ahmore Burger-Smidt – responsable de la réglementation et Dale Adams – associé principal chez Avocats Ouvriers.
