RGPD : un terreau favorable aux rançongiciels ?
Les sanctions encourues sous l’ère RGPD pour défaut de protection de données personnelles font craindre que les entreprises victimes de rançongiciels choisissent de payer.
Le RGPD, porte grande ouverte aux rançongiciels ?
D’Acronis à Trend Micro en passant par Crowdstrike et F-Secure, de nombreux éditeurs répondent par l’affirmative.
Leur constat : au vu des amendes dont elles sont susceptibles d’écoper avec le nouveau cadre européen, les entreprises seront tentées de payer les rançons. Et de garder ainsi des incidents sous silence.
Les amendes en question pouvant atteindre « jusqu’à 4 % » du chiffre d’affaires annuel, les cybercriminels auront d’autant plus de marge de manœuvre qu’ils disposeront de données financières sur les entreprises ciblées.
Le facteur psychologique
L’usage « traditionnel » des rançongiciels consiste à chiffrer des données et à n’y restaurer l’accès qu’en échange d’un paiement. Les pouvoirs publics, à l’image du ministère de l’Intérieur, s’inquiètent de leur développement.
Une variante a émergé avec le RGPD. Exit le chiffrement, place aux menaces de divulgation publique, avec les conséquences sus-évoquées.
La firme bulgare Tad Group utilise le terme « ransomhack » pour décrire ce phénomène. Elle a relevé une fourchette de rançons allant de 1 000 à 20 000 dollars.
Les organisations visées ne sont pas nécessairement démunies face aux exigences du RGPD. Mais elles ont, souvent pour des questions de budget, défini des priorités qui n’ont pas impliqué la sécurisation de l’ensemble de leurs systèmes d’information.
La « sécurité des données à caractère personnel » n’est effectivement qu’un volet du règlement européen, aux côtés notamment des droits des personnes concernées par les traitements de données (accès, rectification, effacement, portabilité, etc.).
L’article 33 du texte établit les conditions selon lesquelles les autorités de contrôle doivent être informées de toute violation de données à caractère personnel. C’est-à-dire, selon la définition renseignée à l’article 4, toute « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisés ».
Les attaques par rançongiciels, aussi longtemps qu’elles touchent des systèmes informatiques exploités dans la chaîne de traitement de données personnelles, relèvent de cette catégorie.
Être victime d’une telle attaque n’induit pas forcément d’être sanctionné d’une amende, si l’entreprise a pris les « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Il appartiendra aux autorités de contrôle de le déterminer.
Crédit photo : WeissenbachPR via VisualHunt.com / CC BY-NC