Attention : un mail reçu de l’Institut contient un virus. L’Académie Fiscale interroge l’ITAA

Hier le 11 avril vers 11H15, beaucoup d’entre vous ont reçu, en pleine période TVA, un email émanant d’un membre du personnel de l’ITAA. Un message de 16H56 émanant de l’ITAA était rédigé comme suit :

Attention au phishing

Chères consœurs, chers confrères,

Un e-mail circule actuellement avec charles.bayart@itaa.be comme expéditeur et “Mise en demeure” comme sujet.
Veuillez l’ignorer. Il s’agit de phishing.

L’ITAA ne vous envoie jamais de liens par mail pour demander vos identifiants et mots de passe afin d’accéder à des informations. Les seules interactions ou il faut vous identifier se font via le portail ITAA. (https://portal.itaa.be)

Toutes nos excuses pour le désagrément.

Notre équipe prendra les mesures requises pour garantir la sécurité des données. Merci pour votre compréhension et soyons plus que jamais sur nos gardes.

Salutations confraternelles,

L'Académie fiscale s'interroge forcément sur les mesures de sécurité qui entoure les services informatiques de l'Item.

Voici le message que nous avons adressé ce matin à privacy@itaa.be pour obtenir des explications :

Madame, Monsieur,

Hier, le 11 avril 202023 différents membres de notre association nous ont informés avoir reçu en fin de matinée, de la part de votre Institut professionnel ou d’un de ses salariés internes, un message qui contiendrait apparemment un virus.

Certains ont cru de bonne foi que ce message leur était destiné même si le contenu pouvait porter à confusion au vu de leur situation personnelle au regard de leurs obligations vis-à-vis de l’ITAA.

En fin de journée un message émanant de votre Institut a informé les membres que ce message était virolé et que la prudence s’imposait. Beaucoup de nos membres ne sont pas chaque seconde à chercher les mails émanant de l’Institut.
Ce matin encore différentes personnes qui nous ont contactés nous informent ne pas avoir encore pris connaissance de votre mail, étant retenu par les obligations impératives en terme de TVA périodique pour leurs clients.

Notre interrogation, afin de rassurer nos membres, portent sur les points suivants :

1 De quelle manière l’Institut a-t-il constaté que ce message était virolé ?
2 Quelles sont les mesures immédiates prises par le DPO de l’Institut ?
3 Comment l’Institut peut-il rassurer les personnes inscrites au registre public que leurs données personnelles, dont les données financières, n’ont pas été violées ?
4 Comment l’Institut peut-il rassurer les personnes concernées que des données judiciaires et relatives aux dossiers disciplinaires n’ont pas été violées ?
5 La déclaration de protection des données et vie privée de l’Institut disponible sur son site, n’indique pas l’endroit physique où sont conservées les données de l’ITAA. Voulez-vous nous préciser les localités des différents serveurs utilisés par l’Institut, tant pour les serveurs principaux que pour les backup ?
6 L’Institut déclare au point E. de sa déclaration de protection des données que : « L’ITAA convient en outre avec les prestataires de services externes qui traitent des données à caractère personnel pour l’ITAA qu’ils doivent à tout moment prendre les mesures de sécurité nécessaires et en rendre compte à l’ITAA. À cette fin, un accord de traitement est établi et signé au préalable. » Quels sont ces prestataires de services ? Est-il possible d’obtenir copie de ces contrats pour rassurer les membres ?

Vous comprendrez qu’en l’absence de réponse circonstanciée et complète à nos questions sous vingt-quatre heures, nous devrons en informer l’Autorité de protection des données contact@apd-gba.be.

Nous vous adressons, Madame, Monsieur, nos meilleures salutations respectueuses.

Nous tenions à informer nos membres de cette action importante en vue de la préservation de leurs données personnelles obligatoirement fournies à l’ITAA.

Restez prudents et attentifs dans la gestion de vos données et de celles de vos clients. Veillez avec le DPO de votre fiduciaire à vérifier régulièrement les logs de votre site web et avec votre provider.

J’en profite pour vous inviter réellement, apres les TVA, à vérifier que vos données sont localisées au sein de serveurs dans l’EEE (UE + la Suisse et la Norvège) car tant les serveurs américains (non localisés en UE), que chinois sont à bannir car personne ne sait réellement ce qui est réalisé avec vos données et celles de vos clients.

Les données de l’Académie fiscale sont localisées chez Combell à Gent dont les serveurs sont situés dans l’Union européenne. Un backup des données est situé auprès de deux providers suisses Tresorit et Infomaniak.

Jean Pierre Riquet