Payer la rançon ou payer l’amende, la nouvelle arnaque inspirée par le RGPD

Le RGPD (Règlement Général sur la Protection des Données) est entré en application le 25 mai 2018. La protection des données personnelles n’est pas une nouveauté. Mais une amélioration des textes existants, qui n’avaient pas anticipé l’explosion de certaines pratiques sur internet (réseaux sociaux, moteurs de recherches, marketing ciblé…), était nécessaire.

L’objectif de ce nouveau règlement est l’harmonisation des règles et des pratiques européennes concernant la protection des données personnelles. Il s’applique non seulement aux entreprises publiques ou privées établies dans l’union européenne mais également à celles établies hors de l’union européenne dès lors qu’elles ciblent des citoyens européens.

Un des principes essentiels du RGPD concerne la problématique de sécurité. Les entreprises doivent garantir un niveau de sécurité des données adapté et savoir comment réagir au cas où elles en perdraient le contrôle. A savoir, les données doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées. »

Et c’est sur ce point que les choses se corsent pour les entreprises qui ne sont toujours pas en conformité avec la nouvelle règlementation. En cas de mauvais traitement des données personnelles des utilisateurs, les sanctions prévues par le RGPD pourront s’élever jusqu’à 4% du chiffre d’affaires mondial d’une société. Et cela, les hackers l’ont bien compris et ont su adapter leur stratégie.

Le RGPD et la naissance du ransomhack

La mise en application du RGPD et la crainte engendrée par les lourdes sanctions prévues en cas de non-respect de la législation, a ainsi donné de nouvelles idées aux hackers et permis la naissance d’une nouvelle génération de ransomware.

Tad Group, société de cybersécurité bulgare, a révélé la recrudescence d’une nouvelle forme de cyberattaque ciblée, baptisée Ransomhack ; un rançongiciel qui menace les entreprises qui ne se conforment pas au nouveau Règlement Général sur la Protection des Données.
Contrairement aux rançongiciels traditionnels qui bloquent l’accès aux données de l’entreprise en les chiffrant et en demandant le paiement d’une rançon pour y redonner accès, le ransomhack passe par le vol de données clients que possèdent les entreprises. Une fois les données volées, les hackers menacent les entreprises victimes de rendre publique la fuite de données sur Internet si la rançon demandée n’est pas versée.

De nombreuses entreprises seront tentées de payer les rançons exigées plutôt que de risquer, en plus de ternir leur réputation, de payer une amende bien plus onéreuse. Mais être victime d’un ransomhack n’implique pas forcément une sanction de la part de la CNIL. En effet, cette dernière devra définir et évaluer si l’entreprise a mis en œuvre les mesures appropriées afin de garantir la sécurité des données collectées.

 

Besoin de conseils ou de plus d’informations sur la sécurisation des données ? N’hésitez-pas à nous envoyer un message ici ou à nous contacter au 04 27 85 13 30.

no replies

Leave your comment