%20(1)-1.png?width=140&height=35&name=rdv360-logo_white%20(3)%20(1)-1.png){kind=logo}
Bulletin de sécurité Résumé
Nous avons identifié une intrusion ciblant une partie de nos données. L’accès malveillant a été immédiatement bloqué et les mesures de sécurité renforcées.
Nous avons informé tous les clients concernés et nous restons disponibles pour répondre à leurs questions sur support@rdv360.com et au 02 55 99 99 15.
L’entreprise a déposé plainte et travaille en lien direct avec l’ANSSI et l’OFAC du Parquet de Paris, en charge de l’enquête.
L’activité continue normalement avec une sécurité renforcée.
Bulletin de sécurité du 1er décembre 2025
- Wallack (labellisé par l'ANSSI) remet son plan de remédiation qui conclut que nous avons "convenablement réduit les risques" et atteste que "les clients de la société RDV360 peuvent par conséquent réintégrer l’utilisation habituelle de la plateforme"
- nous avons été entendu le 25/11 à par le commande de police de l'OFAC pour fournir tous les éléments nécessaires à l'enquête,
- nous collaborons étroitement via Wallack et notre hébergeur avec l'ANSSI (qui mène l'enquête technique) pour fournir tous les traces du passage de l'intrusion, le travail d'investigation progresse...
Bulletin de sécurité du 20 Novembre 2025
- la sécurisation de nos accès administrateur par whitelist d'adresses IP est effective.
- la sécurisation de nos accès administrateur par double authentification est effective.
Pour aller plus loin, le plan de remédiation et de sécurisation va être élaboré par la société Wallack.
Bulletin de sécurité du 19 Novembre 2025
Sécurisation : Nous avons mandaté la société Wallack, agréée par l'ANSSI, pour auditer l'incident et compléter les mesures de sécurisation déjà prises.
Information : Voici notre numéro de déclaration CNIL : FR2511191700014
Bulletin de sécurité du 17 Novembre 2025
Nous avons déposé plainte à la gendarmerie. Vous pouvez y faire référence si vous portez plainte vous même.
Code unité 71153 - N° P.V. 02053 - Année 2025
Nous sommes en contact permanent avec
- l'ANSSI (Agence nationale de la sécurité des systèmes d'information), Bureau Incidents et Signalements, dossier RM#1072976
- le Parquet du Tribunal de Paris, Service de police de l'OFAC (Office Anti-Cybercriminalité), en charge de l'enquête.
Bulletin de sécurité du 13 Novembre 2025
Information concernant un accès non autorisé détecté
Madame, Monsieur,
Nous vous contactons aujourd’hui suite à la détection ce mercredi 12 novembre d’un incident de sécurité.
Un individu non autorisé a réussi à accéder à l’un de nos comptes administrateurs internes, a ensuite accédé à votre espace agent, et initié un export des données usagers associées à votre collectivité. Vous avez pu recevoir une notification d’export par email : cet export n’a pas été initié par vos agents.
Dès la détection de l'intrusion, nous avons immédiatement réinitialisé l’ensemble des mots de passe de nos administrateurs internes, ajouté une protection complémentaire sur les interfaces sensibles. Nous allons créer à court terme une authentification multifactorielle pour nos administrateurs internes, renforcer la journalisation, la supervision et les alertes, et lancer une analyse approfondie des journaux, vous trouverez l'ensemble des mesures dans les liens plus bas dans ce mail.
Nous prenons cet événement extrêmement au sérieux. Il s’agit du premier incident de ce type depuis la création de notre service, et nous n’avons jamais été confrontés à un accès ou un vol de données personnelles jusqu’à aujourd’hui. Cet incident déclenche chez nous une série d’actions de sécurisation très concrètes, à court, moyen et long terme, afin de renforcer durablement la protection de vos données et d’élever encore notre niveau de sécurité opérationnelle.
L’export frauduleux peut contenir les informations suivantes : nom, prénom, email (lorsqu’il a été renseigné), numéro de téléphone (lorsqu’il a été transmis), et plus rarement adresse ou ville lorsque ces champs figuraient dans vos formulaires.
Aucune donnée sensible, aucun mot de passe, aucune pièce justificative, aucun document d’identité ou donnée financière n’est concerné.
Conformément à la méthodologie CNIL, et au regard de la nature des données concernées (uniquement des données d’identification et de contact), cet incident est considéré comme présentant un risque limité pour les personnes concernées. Les risques identifiés se limitent à d’éventuelles sollicitations indésirables ou à des tentatives de phishing. Aucun risque grave n’a été identifié.
Registre
En tout état de cause, vous devrez, en tant que responsable du traitement, inscrire cet incident dans votre registre interne des violations de données personnelles, conformément à l’article 33.5 du RGPD. Voici tous éléments pour cette inscription au registre.
CNIL
Malgré la nature du risque, la notification de la CNIL est obligatoire. Pour procéder à cette déclaration, voici toutes les informations qui vous seront utiles, étape par étape, pour compléter cette déclaration dans les 72 heures calendaires qui suivent la lecture de cette notification : informations complètes pour votre déclaration CNIL.
Information des usagers
Dans ce contexte, et compte tenu de ce niveau de risque, si vous n'avez pas l'obligation d'en informer les usagers. Vous pouvez toutefois choisir d’informer les usagers par mesure de transparence. Si vous souhaitez engager cette démarche, nous pouvons le faire en votre nom. Voici le message que nous vous proposons d'envoyer : e-mail type pour prévenir les usagers.
Nous restons à votre disposition pour vous fournir les éléments utiles et répondre aux questions de votre DPO.
Cordialement,
L’équipe RDV360