Une cyberattaque sur le géant de la distribution Pick n Pay a exposé les données de clients liées à une ancienne version de son application de livraison, relançant le débat sur la gestion des systèmes legacy dans les entreprises en pleine transformation numérique.
Le 30 mai, Pick n Pay a confirmé une violation de données touchant les utilisateurs de son ancienne plateforme de livraison, initialement lancée sous le nom Bottles puis rebaptisée Asap!. Les informations compromises incluent des noms, coordonnées, adresses de livraison et des détails limités de cartes de paiement. Bien que le détaillant assure que les numéros de carte complets et les codes CVV n’étaient pas stockés, l’incident soulève des questions cruciales sur la sécurité des systèmes délaissés.
Un héritage numérique dangereux
Les données exposées proviennent d’une version antérieure de l’application, retirée en 2022. Pourtant, les enregistrements clients sont restés accessibles, révélant un échec de gouvernance plutôt qu’une défaillance technologique pure. Samantha Hanreck, directrice de Data Sync Global, souligne : « Ce n’est pas une histoire de hackers, mais de données qui n’auraient plus dû exister. »
Dr Nishal Khusial, expert en cybersécurité, attribue la faille à des vulnérabilités dans l’infrastructure legacy. « Un ancien système connecté à une ancienne application n’avait pas les mécanismes de protection modernes contre les attaques par pénétration », explique-t-il. Cette négligence illustre un défi croissant pour les entreprises en transition numérique : les systèmes obsolètes peuvent rester des cibles vulnérables longtemps après leur retrait.
Réactions et conséquences
Malgré les assurances de Pick n Pay, les clients expriment leur mécontentement. Dzungi Mudzunga, client régulier, dénonce : « Les exécutifs s’excusent par email tandis que les citoyens subissent des tentatives de fraude pendant des années. » Trevor Dube, propriétaire d’une société de sécurité à Johannesburg, exige des sanctions : « En tant que clients, nous attendons une protection rigoureuse de nos données privées. »
La Commission nationale des consommateurs recommande aux victimes de saisir l’Information Regulator, organisme chargé d’appliquer la loi POPIA. Nomzamo Zondi, responsable de la communication, encourage les plaintes : « Nous sommes prêts à aider ceux dont les informations personnelles ont été violées. »
Pick n Pay affirme collaborer avec des spécialistes en cybersécurité et revoir ses pratiques de gestion des données. Enrico Ferigolli, directeur exécutif en ligne, insiste : « Toutes les procédures appropriées ont été suivies, y compris la notification à l’Information Regulator. »
Cet incident rappelle aux entreprises africaines l’importance cruciale d’une gouvernance rigoureuse des données, surtout dans un contexte de transformation digitale accélérée.