Les sanctions prévues par le RGPD sont une véritable incitation à être en conformité avec le texte. Les amendes pouvant aller jusqu’à 20 millions € ou 4% du CA annuel ont en tous cas donné des idées aux cyberpirates. Un ransomware d’un nouveau genre a fait son apparition. Les entreprises sont désormais confrontées au ransomhack.
Le ransomware est un programme malveillant dont le but est d’obtenir une rançon en empêchant l’utilisateur d’accéder à ses données, ces dernières étant chiffrées. Mais la société de cybersécurité bulgare Tad Group a révélé une nouvelle forme d’extorsion. Dans ce cas précis, les données ne sont pas bloquées si l’entreprise ne paye pas la rançon. Elles sont rendues publiques. Une variante qui a vu le jour avec l’entrée en vigueur du règlement européen.
Le ransomhack, une instrumentalisation du RGPD ?
Si les pirates informatiques surfent sur la vague du RGPD, ce n’est pas par hasard. Le texte est entré en application le 25 mai dernier. Pourtant, aujourd’hui encore, de nombreuses entreprises ne sont toujours pas en conformité. De nombreux experts en cybersécurité estiment que les entreprises préfèreront payer les rançons et rester discrètes quant aux éventuels incidents dont elles sont victimes. Elles échappent ainsi aux amendes prévus par le texte européen.
Le règlement européen prévoit que toute fuite de données doit être signalée dans les 72h après la découverte de l’incident. D’après Tad Group, les rançons demandées dans le cadre d’un ransomhack sont comprises entre 1000 et 20 000 dollars. Compte tenu du niveau des sanctions, payer les cyberpirates semble être une solution moins onéreuse pour une entreprise.
La législation considère qu’il y a eu violation de données à caractère personnel en cas de perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite. La notification de l’incident doit être transmise à la CNIL dans les meilleurs délais à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes.
Une obligation de notifier toute violation de données
L’obligation de notifier à la CNIL est prévue à l’article 33 du RGPD. Dans le cas où la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, l’article 34 impose de notifier ces dernières.
A noter cependant qu’une entreprise victime d’un ransomhack ne sera pas automatiquement sanctionnée par la CNIL. Le régulateur est en effet chargé de déterminer si l’entreprise avait bien pris les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque avant d’être attaquée.
