Jungle du RGPD, nouvel épisode. Un mois après son entrée en vigueur, le 25 mai dernier, le Règlement général européen sur la protection des données (RGPD), qui impose aux entreprises et aux organisations de revoir toute leur architecture de collecte et de traitement des données personnelles de leur utilisateurs/clients, n'en finit pas d'engendrer son lot de troubles.
Comme le RGPD est un véritable changement de paradigme qui nécessite d'effectuer des investissements parfois conséquents pour la mise en conformité, que moins d'un tiers des entreprises le sont, et que les sanctions en cas de non-respect de la législation peuvent atteindre jusqu'à 4% du chiffre d'affaires mondial, il y avait donc un terrain béni pour les cybercriminels et les arnaqueurs. La Commission nationale informatique et libertés (CNIL) avait d'ailleurs déjà sonné l'alerte pendant les mois précédant l'entrée en vigueur, mais les arnaques ont redoublé d'intensité depuis. De nombreux experts en cybersécurité dénoncent également sur les nouvelles pratiques des cybercriminels pour tirer profit de la panique autour du RGPD.
Le ransomhack, nouveau type de rançongiciel qui menace les entreprises non-conformes
Le RGPD a ainsi donné naissance à un nouveau type de ransomware (rançongiciel ou logiciel-rançon en français) : le ransomhack. La différence ? Alors que le ransomware bloque l'accès aux données de l'utilisateur en les chiffrant et demande le paiement d'une rançon pour les rendre lisibles à nouveau, le ransomhack ne prend même pas la peine d'avoir recours au chiffrement : une fois infiltré dans le système informatique de sa victime, le hacker exige simplement le paiement de la rançon sous peine de rendre publique la fuite de données sur Internet.
Diabolique, mais malin : avec le RGPD, les entreprises qui protègent insuffisamment les données personnelles de leurs clients sont passibles de sanctions qui peuvent atteindre jusqu'à 4% de leur chiffre d'affaires. D'après l'article 33 du RGPD, en cas de violation des données, les entreprises doivent en informer les autorités de contrôle (la Cnil) au plus tôt et au maximum 72 heures après en avoir pris connaissance, sous peine de subir des sanctions supplémentaires.
D'après la société de cybersécurité bulgare Tad Group, les cybercriminels utilisant des ransomhack parient sur la peur des sanctions pour pousser les entreprises hackées à payer la rançon sans sourciller. L'éditeur a observé que les rançons demandées s'élèvent entre 1.000 dollars et 20.000 dollars. Tant que les entreprises qui exploitent des données personnelles n'auront pas sécurisé l'ensemble de leurs systèmes d'exploitation - face à l'urgence et aux coûts engagés, elles définissent des priorités -, elles seront vulnérables à ce type d'attaques. Cela ne signifie pas pour autant qu'une société victime d'un ransomhack sera sanctionnée par la Cnil : le régulateur devra déterminer si l'entreprise avait bien pris les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque avant de subir l'attaque. Mais l'éditeur en cybersécurité Acronis préfère prévenir : "Votre plus grande menace sur la route de la conformité RGPD pourrait être une brèche liée à un ransomware".
Les arnaques à la conformité se multiplient
Autre fléau lié au RGPD : les escrocs qui jouent sur la peur des sanctions pour facturer une fausse mise en conformité. La Cnil a publié le 7 juin une mise en garde contre la recrudescence de cette pratique et a appelé entreprises et organisations à "la plus grande vigilance".
Ainsi, certains escrocs envoient un faux formulaire intitulé "Déclaration normale RGPD", qui reproduit frauduleusement le logo de la Cnil. La victime doit remplir le fichier, le renvoyer, et payer pour la démarche.
Un autre cas de fraude est le fameux courrier, courriel ou fax de "dernier rappel", qui présente également un logo usurpé de la Cnil. Le message "invite à appeler un numéro de téléphone pour ensuite facturer la fausse mise en conformité au règlement européen", explique la Cnil. Qui en profite pour rappeler :
"La mise en conformité au RGPD nécessite plus qu'un simple échange ou l'envoi d'une documentation. Elle suppose un vrai accompagnement, par une personne qualifiée en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps. Il est nécessaire, avant tout engagement, de chercher en ligne des informations sur la société qui prend contact avec vous."
Pour aider les entreprises dans leur mise en conformité au RGPD, la CNIL a publié des guides et tutoriels comme "RGPD : ce qui change pour les pros", ou encore le "Guide de sensibilisation pour les petites et moyennes entreprises" élaboré en partenariat avec Bpifrance.