Connexion

Connexion à votre compte

Identifiant
Mot de passe
Maintenir la connexion active sur ce site

Le ransomhack surfe sur la vague RGPD

Écrit par  Jacques Cheminat , lundi, 25 juin 2018 18:52 , SÉCURITÉ.
Le ransomhack surfe sur la vague RGPD Leowolfert-Adobe Stock

La mise en œuvre du règlement européen sur la protection des données a titillé l’imagination des cybercriminels. Avec le ransomhack, ils ne bloquent plus les données, mais veulent les publier pour placer les entreprises victimes sous le coup des sanctions du RGPD.

Et les cybercriminels acquirent la fibre juridique en menaçant les entreprises d’écoper d’une sanction en cas de vol de données selon le RGPD. Cette réglementation est en vigueur depuis le 25 mai 2018 et prévoit en cas de vol de données des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires de l’année précédente de l’incident.

La société de sécurité Tad Group a détecté une forme de ransomware d’une nature un peu différente des autres. Surnommé ransomhack par l’éditeur bulgare, il diffère du ransomware traditionnel au fait que les données ne sont pas bloquées, mais elles sont rendues publiques à moins qu'une rançon ne soit payée. En les rendant publiques, les cybercriminels placent les entreprises victimes sous le joug des sanctions du RGPD. Ce dernier impose aux sociétés d’assurer un haut niveau de protection sur les données.

1000 à 2000 dollars de rançon pour éviter une sanction RGPD

Les cyberpirates tentent donc de pousser les organisations à la faute et parient sur le fait que ces dernières préfèreront payer une rançon plutôt que de subir une enquête se traduisant par une sanction. L’équation économique est facile, payer une rançon comprise entre 1000 et 2000 dollars en cryptomonnaies ou risquer jusqu’à 20 millions de dollars ou 4% du chiffre d’affaires d’amende.

En même temps, payer la rançon comporte également un risque, car dans le RGPD, les entreprises victimes d’une violation de données ont 72 heures pour informer de l’incident. En cas d’oubli, elles peuvent être sanctionnées. Sans parler de la mauvaise publicité et de l’impact sur les clients.

Les cyberpirates surfent sur la vague du RGPD, car le terreau est favorable. Beaucoup d’entreprises sont en retard dans la mise en œuvre de la réglementation européenne et sont donc vulnérables. Certes les autorités de régulation sont bienveillantes à condition que les entreprises aient commencé à travailler sur la mise œuvre du RGPD.

Le ransomware ne faiblit pas

En France, le phénomène du ransomware progresse même si les plaintes se révèlent relativement faibles comme le montre le rapport sur l’état des cybermenaces du ministère de l’Intérieur. Sur l’année 2017, 420 procédures ont été déposées auprès des différents services de police et de gendarmerie. Un chiffre bas par rapport à la vague de Wannacry qui a impacté beaucoup d’entreprises et non des moindres en France, Renault, Saint Gobain, etc.

On pensait que le RGPD allait augmenter le niveau de sécurité des entreprises. Par contre, on était loin d’imaginer qu’il pourrait servir de moyen de chantage pour obtenir une rançon...

Connectez-vous pour commenter

ABONNEMENT NEWSLETTER

LE MAGAZINE IT FOR BUSINESS

Découvrir

Créer votre compte

S'abonner


Pour toute question, merci de nous contacter

NOUS SUIVRE

AGENDA

Aucun événement