Le RGPD, porte grande ouverte aux rançongiciels ?
D’Acronis à Trend Micro en passant par Crowdstrike et F-Secure, de nombreux éditeurs répondent par l’affirmative.
Leur constat : au vu des amendes dont elles sont susceptibles d’écoper avec le nouveau cadre européen, les entreprises seront tentées de payer les rançons. Et de garder ainsi des incidents sous silence.
Les amendes en question pouvant atteindre « jusqu’à 4 % » du chiffre d’affaires annuel, les cybercriminels auront d’autant plus de marge de manœuvre qu’ils disposeront de données financières sur les entreprises ciblées.
L’usage « traditionnel » des rançongiciels consiste à chiffrer des données et à n’y restaurer l’accès qu’en échange d’un paiement. Les pouvoirs publics, à l’image du ministère de l’Intérieur, s’inquiètent de leur développement.
Une variante a émergé avec le RGPD. Exit le chiffrement, place aux menaces de divulgation publique, avec les conséquences sus-évoquées.
La firme bulgare Tad Group utilise le terme « ransomhack » pour décrire ce phénomène. Elle a relevé une fourchette de rançons allant de 1 000 à 20 000 dollars.
Les organisations visées ne sont pas nécessairement démunies face aux exigences du RGPD. Mais elles ont, souvent pour des questions de budget, défini des priorités qui n’ont pas impliqué la sécurisation de l’ensemble de leurs systèmes d’information.
La « sécurité des données à caractère personnel » n’est effectivement qu’un volet du règlement européen, aux côtés notamment des droits des personnes concernées par les traitements de données (accès, rectification, effacement, portabilité, etc.).
L’article 33 du texte établit les conditions selon lesquelles les autorités de contrôle doivent être informées de toute violation de données à caractère personnel. C’est-à-dire, selon la définition renseignée à l’article 4, toute « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisés ».
Les attaques par rançongiciels, aussi longtemps qu’elles touchent des systèmes informatiques exploités dans la chaîne de traitement de données personnelles, relèvent de cette catégorie.
Être victime d’une telle attaque n’induit pas forcément d’être sanctionné d’une amende, si l’entreprise a pris les « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Il appartiendra aux autorités de contrôle de le déterminer.
Crédit photo : WeissenbachPR via VisualHunt.com / CC BY-NC
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…