Pour gérer vos consentements :

RGPD : un terreau favorable aux rançongiciels ?

Le RGPD, porte grande ouverte aux rançongiciels ?

D’Acronis à Trend Micro en passant par Crowdstrike et F-Secure, de nombreux éditeurs répondent par l’affirmative.

Leur constat : au vu des amendes dont elles sont susceptibles d’écoper avec le nouveau cadre européen, les entreprises seront tentées de payer les rançons. Et de garder ainsi des incidents sous silence.

Les amendes en question pouvant atteindre « jusqu’à 4 % » du chiffre d’affaires annuel, les cybercriminels auront d’autant plus de marge de manœuvre qu’ils disposeront de données financières sur les entreprises ciblées.

Le facteur psychologique

L’usage « traditionnel » des rançongiciels consiste à chiffrer des données et à n’y restaurer l’accès qu’en échange d’un paiement. Les pouvoirs publics, à l’image du ministère de l’Intérieur, s’inquiètent de leur développement.

Une variante a émergé avec le RGPD. Exit le chiffrement, place aux menaces de divulgation publique, avec les conséquences sus-évoquées.

La firme bulgare Tad Group utilise le terme « ransomhack » pour décrire ce phénomène. Elle a relevé une fourchette de rançons allant de 1 000 à 20 000 dollars.

Les organisations visées ne sont pas nécessairement démunies face aux exigences du RGPD. Mais elles ont, souvent pour des questions de budget, défini des priorités qui n’ont pas impliqué la sécurisation de l’ensemble de leurs systèmes d’information.

La « sécurité des données à caractère personnel » n’est effectivement qu’un volet du règlement européen, aux côtés notamment des droits des personnes concernées par les traitements de données (accès, rectification, effacement, portabilité, etc.).

L’article 33 du texte établit les conditions selon lesquelles les autorités de contrôle doivent être informées de toute violation de données à caractère personnel. C’est-à-dire, selon la définition renseignée à l’article 4, toute « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisés ».

Les attaques par rançongiciels, aussi longtemps qu’elles touchent des systèmes informatiques exploités dans la chaîne de traitement de données personnelles, relèvent de cette catégorie.

Être victime d’une telle attaque n’induit pas forcément d’être sanctionné d’une amende, si l’entreprise a pris les « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Il appartiendra aux autorités de contrôle de le déterminer.

Crédit photo : WeissenbachPR via VisualHunt.com / CC BY-NC

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago