Le RGPD, une bénédiction pour les cybercriminels et les arnaqueurs

La Cnil et les experts en cybersécurité mettent en garde les entreprises aux arnaques au RGPD, qu'il s'agisse de ransomhacks (menaces d'exposer l'entreprise non-conforme si elle ne paye pas une rançon) ou d'arnaques plus classiques comme des démarchages trompeurs. Explications.
Sylvain Rolland
Le RGPD a ainsi donné naissance à un nouveau type de ransomware (rançongiciel ou logiciel-rançon en français) : le ransomhack, qui menace d'exposer l'entreprise non-conforme si elle ne paie pas une rançon.
Le RGPD a ainsi donné naissance à un nouveau type de ransomware (rançongiciel ou logiciel-rançon en français) : le ransomhack, qui menace d'exposer l'entreprise non-conforme si elle ne paie pas une rançon. (Crédits : DR)

Jungle du RGPD, nouvel épisode. Un mois après son entrée en vigueur, le 25 mai dernier, le Règlement général européen sur la protection des données (RGPD), qui impose aux entreprises et aux organisations de revoir toute leur architecture de collecte et de traitement des données personnelles de leur utilisateurs/clients, n'en finit pas d'engendrer son lot de troubles.

Comme le RGPD est un véritable changement de paradigme qui nécessite d'effectuer des investissements parfois conséquents pour la mise en conformité, que moins d'un tiers des entreprises le sont, et que les sanctions en cas de non-respect de la législation peuvent atteindre jusqu'à 4% du chiffre d'affaires mondial, il y avait donc un terrain béni pour les cybercriminels et les arnaqueurs. La Commission nationale informatique et libertés (CNIL) avait d'ailleurs déjà sonné l'alerte pendant les mois précédant l'entrée en vigueur, mais les arnaques ont redoublé d'intensité depuis. De nombreux experts en cybersécurité dénoncent également sur les nouvelles pratiques des cybercriminels pour tirer profit de la panique autour du RGPD.

Lire aussi : Le RGPD est officiellement en vigueur, et c'est le grand flou

Le ransomhack, nouveau type de rançongiciel qui menace les entreprises non-conformes

Le RGPD a ainsi donné naissance à un nouveau type de ransomware (rançongiciel ou logiciel-rançon en français) : le ransomhack. La différence ? Alors que le ransomware bloque l'accès aux données de l'utilisateur en les chiffrant et demande le paiement d'une rançon pour les rendre lisibles à nouveau, le ransomhack ne prend même pas la peine d'avoir recours au chiffrement : une fois infiltré dans le système informatique de sa victime, le hacker exige simplement le paiement de la rançon sous peine de rendre publique la fuite de données sur Internet.

Diabolique, mais malin : avec le RGPD, les entreprises qui protègent insuffisamment les données personnelles de leurs clients sont passibles de sanctions qui peuvent atteindre jusqu'à 4% de leur chiffre d'affaires. D'après l'article 33 du RGPD, en cas de violation des données, les entreprises doivent en informer les autorités de contrôle (la Cnil) au plus tôt et au maximum 72 heures après en avoir pris connaissance, sous peine de subir des sanctions supplémentaires.

D'après la société de cybersécurité bulgare Tad Group, les cybercriminels utilisant des ransomhack parient sur la peur des sanctions pour pousser les entreprises hackées à payer la rançon sans sourciller. L'éditeur a observé que les rançons demandées s'élèvent entre 1.000 dollars et 20.000 dollars. Tant que les entreprises qui exploitent des données personnelles n'auront pas sécurisé l'ensemble de leurs systèmes d'exploitation - face à l'urgence et aux coûts engagés, elles définissent des priorités -, elles seront vulnérables à ce type d'attaques. Cela ne signifie pas pour autant qu'une société victime d'un ransomhack sera sanctionnée par la Cnil : le régulateur devra déterminer si l'entreprise avait bien pris les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque avant de subir l'attaque. Mais l'éditeur en cybersécurité Acronis préfère prévenir : "Votre plus grande menace sur la route de la conformité RGPD pourrait être une brèche liée à un ransomware".

Lire aussi : Protection des données : le chaotique business de la conformité RGPD

Les arnaques à la conformité se multiplient

Autre fléau lié au RGPD : les escrocs qui jouent sur la peur des sanctions pour facturer une fausse mise en conformité. La Cnil a publié le 7 juin une mise en garde contre la recrudescence de cette pratique et a appelé entreprises et organisations à "la plus grande vigilance".

Ainsi, certains escrocs envoient un faux formulaire intitulé "Déclaration normale RGPD", qui reproduit frauduleusement le logo de la Cnil. La victime doit remplir le fichier, le renvoyer, et payer pour la démarche.

Un autre cas de fraude est le fameux courrier, courriel ou fax de "dernier rappel", qui présente également un logo usurpé de la Cnil. Le message "invite à appeler un numéro de téléphone pour ensuite facturer la fausse mise en conformité au règlement européen", explique la Cnil. Qui en profite pour rappeler :

"La mise en conformité au RGPD nécessite plus qu'un simple échange ou l'envoi d'une documentation. Elle suppose un vrai accompagnement, par une personne qualifiée en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps. Il est nécessaire, avant tout engagement, de chercher en ligne des informations sur la société qui prend contact avec vous."

Pour aider les entreprises dans leur mise en conformité au RGPD, la CNIL a publié des guides et tutoriels comme "RGPD : ce qui change pour les pros", ou encore le "Guide de sensibilisation pour les petites et moyennes entreprises" élaboré en partenariat avec Bpifrance.

Lire aussi : RGPD : plongée dans le quotidien d'un DPO avec la startup Famoco

Sylvain Rolland

Sujets les + lus

|

Sujets les + commentés

Commentaires 9
à écrit le 28/06/2018 à 16:39
Signaler
Amusant, à côté de cela n'importe quelle application exige l'accès à l'ensemble des données des smartphones, sans que personne ne dise rien. Les applis ne devraient avoir aucun accès aux données, tel que contacts, photos, etc.

à écrit le 28/06/2018 à 15:54
Signaler
C’est une fuite d’une ampleur rare. Vinny Troia, un chercheur en sécurité informatique, a découvert en juin une base de données contenant les informations personnelles d’environ 230 millions d’Américains et 110 millions d’entreprises, a rapporté le s...

à écrit le 28/06/2018 à 13:32
Signaler
Ou sont les politiques qui ont fait voter cette loi? Ils devraient être en train d'expliquer comment on fait et pourquoi ils ont foutu un bordel pareil. Mais evidement ca ne sera pas le cas et on continuera jusqu'à la prochaine loi, qui générera le...

à écrit le 27/06/2018 à 19:51
Signaler
C'est aussi une bénédiction pour les pseudos consultants en service informatique de tous bords ainsi qu' aux râleurs procéduriers. Un grand bol d'hypocrisie juridique puisque la plupart des usagers vont cocher les cases sans lire un langage trop absc...

le 28/06/2018 à 15:30
Signaler
C'est exact. La principale innovation c'est de peser plus sur le portefeuille des GAFA en cas de négligence

à écrit le 27/06/2018 à 11:35
Signaler
Maintenant on s'attaque aux entreprise non conformes aux regles de la CNIL. La France ce pays devenu un enfer pour celui qui travaille.

à écrit le 27/06/2018 à 11:25
Signaler
Peut être que la technique pour les entreprises : c’est de monter pièces par pièces leur «  ordinateur » et d’installer l’exploitation et bloquer toutes les brèches inimaginables avant connections sur réseau , et installer cette fameuse réglementat...

le 27/06/2018 à 20:55
Signaler
il faudrait aussi fabriquer leur propre composant pour éviter de se faire hacker par les drivers comme les processeur intel

à écrit le 27/06/2018 à 9:18
Signaler
Soit les entreprises se font racketter par les cybercriminels, ou elles se font plumer par les sociétés de sécurité informatique. Choix très cornélien...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.