Des start-ups aux grands groupes, nombreuses sont les entreprises victimes de cyberattaques. Selon une étude réalisée par PWC «Global Economic Crime Survey 2016 », 68 % des entreprises françaises en ont été victimes courant 2016 et 61 % en 2017. Si le RGPD contraint les entreprises à protéger les données pour des raisons notamment de sécurité, celui-ci serait pour certains favorable à la cybercriminalité. Le RGPD favorise – t – il réellement la cybercriminalité ?
A priori non…
Le RGPD a pour « but de préparer les entreprises de l’UE à se prémunir contre les intrusions informatiques ». Si les données personnelles ont une forte valeur ajoutée, elles sont toutes aussi convoitées. Les cybercriminels, profitant des failles des systèmes d’information des entreprises, dérobent leurs données. Il importe de les protéger afin d’éviter qu’une utilisation abusive en soit faite.
Les PME/TPE sont les plus exposées aux cyberattaques, car elles sont les plus vulnérables faute de plan d’investissement sur la protection de leur système d’information ou de solution de cyber assurance. 80 % des PME auraient déjà été la cible. Les entreprises ont alors tout intérêt à respecter les mesures de conformité afin d’éviter une paralysie économique ou une atteinte à leur réputation.
L’un des objectifs du RGPD est le renforcement de la sécurité des données personnelles. Le système de conformité mis en place par ce dispositif devrait permettre d’aider les entreprises à mieux lutter contre les cyberattaques. Le respect des mesures prévues par le RGPD permettrait aux entreprises d’être moins attaquables et de pouvoir réagir efficacement face à la cybermenace. Le RGPD, dans cette perspective, est le garant de la sécurité des entreprises et des données.
Mais peut-être bien…, en raison de sa sévérité
Le RGPD contraint les entreprises victimes de cyberattaques à informer les autorités compétentes des atteintes à la protection des données personnelles (article 33 du RGPD). Cependant, le non-respect de cette mesure peut entraîner des sanctions notamment une amende allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. Une sanction assez lourde.
Or, le plus souvent les entreprises victimes de cyberattaques ne sont pas en conformité. Et selon un rapport de Tad Group, une société bulgare de cybersécurité, les rançons sont souvent comprises entre 1000 et 20 000 dollars, variables compte tenu de la taille des entreprises victimes. Les cybercriminels utilisent des ransomwares ou logiciels-rançon qui bloquent l’accès aux données en les rendant illisibles après les avoir chiffrées. Mais, avec le RGPD, il ne s’agit plus d’une prise d’otage de données avec une demande de rançon, mais une sorte de chantage à la publication de l’attaque dont a été victime l’entité : le ransomhack.
Par conséquent, les victimes d’attaques « préfèrent payer une rançon moins élevée aux pirates pour ne pas divulguer le piratage plutôt que d’avoir à payer une lourde amende imposée par l’autorité compétente », révèle un rapport d’Europol. Les victimes, craignant non seulement une lourde amende, mais aussi et surtout la détérioration de leur image, la paralysie de leur activité et l’affaiblissement de leur compétitivité paient les rançons demandées par les cybercriminels.
Tout porte à croire que la sévérité des dispositions du RGPD entraîne des risques de cybercriminalité. En raison de la sévérité relative des sanctions du RGPD, certains n’hésitent pas à critiquer le nouveau règlement, affirmant qu’elle serait à l’origine d’un nouveau type de « ransomware » qui est le « ransomhack ».