Information · Incident chez le prestataire logiciel du Port

Quels sont les risques concrets?

Tentatives de fraude par email, SMS ou téléphone

Des personnes malveillantes peuvent utiliser votre nom, adresse ou numéro de téléphone pour vous contacter en se faisant passer pour un organisme connu (banque, administration, service de livraison).

Exemples:

  • Appel prétendant provenir de votre banque évoquant une opération suspecte et demandant une confirmation.
  • SMS annonçant un colis ou une facture impayée avec un lien frauduleux.

Usurpation d’identité ciblée

Les informations concernées ne permettent pas, à elles seules, une usurpation d’identité complète. Elles peuvent toutefois être combinées à d’autres informations publiques pour se faire passer pour vous dans des démarches frauduleuses.

Exemple:

  • Utilisation de votre identité pour contacter un tiers ou créer un profil frauduleux crédible.

La Ville de La Tour-de-Peilz recommande aux citoyennes et citoyens les mesures de protection suivantes :

  • Restez particulièrement attentifs aux appels, SMS et emails non sollicités ou qui paraissent illégitimes.
  • Ne communiquez jamais d’informations sensibles par messagerie ou téléphone : aucune administration ou société commerciale sérieuse ne vous demandera vos données bancaires ou vos mots de passe par message électronique ou par téléphone. Par exemple, si vous recevez un appel prétendument de votre banque vous demandant des informations sensibles, raccrochez et appelez directement votre banque en utilisant le numéro officiel trouvé sur leur site web ou vos relevés bancaires.
  • Vérifiez les liens avant de cliquer : positionnez le curseur de votre souris sur un lien douteux (sans cliquer) pour afficher l’adresse réelle. Vérifiez la vraisemblance ou accédez directement au site de l’organisme en question en faisant vous-même la recherche sur Internet. Par exemple, un lien dans un e-mail peut prétendre vous diriger vers le site de votre banque, mais lorsque vous survolez le lien, vous voyez qu'il mène à une adresse web suspecte.
  • Vérifiez l'adresse du site : assurez-vous que l’adresse du site qui s’affiche dans votre navigateur correspond exactement au site concerné. Un seul caractère peut différer et vous tromper. En cas de doute, ne fournissez aucune information et fermez immédiatement la page. Par exemple, au lieu de "www.banque.com", un site frauduleux pourrait utiliser "www.banq-ue.com".
  • Mots de passe différents et complexes : utilisez des mots de passe uniques et complexes pour chaque site et application pour éviter que la compromission d’un mot de passe n’impacte vos autres comptes. Par exemple, un mot de passe complexe doit inclure une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux.
  • Activation de la double authentification (MFA) : activez la double authentification pour augmenter la sécurité d’accès à vos comptes lorsque c'est possible. Cela signifie que même si votre mot de passe est compromis, un second facteur, comme un code envoyé à votre téléphone, sera nécessaire pour accéder à votre compte.

FAQ 

L’incident me concerne-t-il ?

Si vous êtes un usager du Port ou faites partie de la liste d’attente alors vous êtes potentiellement concerné·e. Un courrier en date du 4 février 2026 a été envoyé à toutes les personnes directement impactées.

Les données concernées sont-elles des données à caractère personnel ?

Oui, parmi les données exfiltrées, on retrouve des données à caractère personnel non sensibles. Le détail de ces données impactées fait partie du courrier envoyé le 4 février 2026 aux personnes concernées.

Pourquoi ce prestataire avait-il accès à mes données ?

Ce prestataire a été contractualisé pour s'occuper du développement et de l’hébergement du logiciel de gestion du Port et des places d'amarrages. À cette fin, il avait en sa possession une partie des données pour le fonctionnement du logiciel. 

Suite à cet incident quelles mesures ont été mises en place ?

Au-delà des mesures techniques pour protéger notre Ville, une nouvelle solution avait été développée et est entrée en production en fin d’année passée. Celle-ci est hébergée en interne. Le contrat avec le prestataire concerné est arrivé à échéance au 31 décembre 2025 et la suppression complète des données de l’ancien logiciel a été exigée.