Une faille de sécurité chez Pick n Pay soulève des questions cruciales sur la gestion des données clients en Afrique du Sud. Le géant de la distribution sud-africain Pick n Pay vient de confirmer une cyberattaque ayant exposé des données clients liées à une ancienne version de son application de livraison. Cette violation, qui touche des informations enregistrées avant 2022, met en lumière les risques persistants liés aux systèmes informatiques obsolètes.
Un héritage numérique dangereux
Les données compromises proviennent de l’ancienne application Bottles, rebaptisée Asap! avant d’être remplacée. Selon Pick n Pay, les informations exposées incluent des noms, coordonnées, adresses de livraison et des détails partiels de cartes bancaires. Le groupe assure toutefois que les numéros de carte complets et les codes CVV n’étaient pas stockés dans le système compromis. « Les données fuitées ne permettent pas de réaliser des transactions frauduleuses », précise l’entreprise.
Pourtant, cette assurance ne rassure pas entièrement les clients. Dzungi Mudzunga, un client régulier, exprime son inquiétude : « Les véritables victimes de la mauvaise cybersécurité sont toujours les citoyens ordinaires. Les dirigeants s’excusent par email, tandis que nous devons gérer des tentatives de fraude pendant des années. »
Des failles techniques et organisationnelles
Le Dr Nishal Khusial, expert en cybersécurité, souligne que cette faille pourrait provenir de l’infrastructure legacy du détaillant. « Un ancien système connecté à une ancienne application n’avait pas les mécanismes de protection actuels contre les attaques modernes », explique-t-il.
Samantha Hanreck, fondatrice de Data Sync Global, va plus loin en pointant un problème de gouvernance. « Ce n’est pas une histoire de hackers, mais de données qui n’auraient plus dû exister. La plateforme a été retirée en 2022, mais les enregistrements clients sont restés accessibles. C’est une défaillance de gouvernance, pas technologique. »
Réactions et conséquences
Certains clients estiment que la réponse de Pick n Pay reste insuffisante. Trevor Dube, propriétaire d’une entreprise de sécurité à Johannesburg, déclare : « C’est une grave atteinte à la vie privée. Nous attendons de ces grandes entreprises qu’elles protègent nos informations personnelles. Des conséquences sérieuses doivent être prises lorsque cela échoue. »
Phetho Ntaba, porte-parole de la National Consumer Commission, conseille aux consommateurs affectés de déposer plainte auprès de l’Information Regulator, l’organisme chargé d’appliquer la loi sur la protection des données (POPIA). Nomzamo Zondi, responsable de la communication à l’Information Regulator, confirme que le régulateur est prêt à aider les victimes. « Si vous estimez que vos informations personnelles ont été violées, veuillez visiter notre page de services en ligne ou vous rendre à nos bureaux pour enregistrer votre plainte. »
Pick n Pay affirme avoir déjà entamé les procédures de déclaration auprès du régulateur et collaborer avec des spécialistes en cybersécurité pour évaluer l’étendue de la faille. Enrico Ferigolli, directeur exécutif en ligne chez Pick n Pay, ajoute : « Toutes les procédures appropriées ont été et sont suivies, y compris la notification à l’Information Regulator. Nous menons une revue approfondie de nos pratiques de gestion et de conservation des données historiques dans le cadre de notre investissement continu en matière de sécurité des données clients. »
Cette affaire rappelle l’importance cruciale pour les entreprises africaines de moderniser leurs infrastructures IT et de renforcer leur gouvernance des données, surtout dans un contexte de transformation numérique accélérée.