Secu
Le ransomhack surfe sur la vague RGPD
Par Jacques Cheminat, publié le 25 juin 2018
La mise en œuvre du règlement européen sur la protection des données a titillé l’imagination des cybercriminels. Avec le ransomhack, ils ne bloquent plus les données, mais veulent les publier pour placer les entreprises victimes sous le coup des sanctions du RGPD.
Et les cybercriminels acquirent la fibre juridique en menaçant les entreprises d’écoper d’une sanction en cas de vol de données selon le RGPD. Cette réglementation est en vigueur depuis le 25 mai 2018 et prévoit en cas de vol de données des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires de l’année précédente de l’incident.
La société de sécurité Tad Group a détecté une forme de ransomware d’une nature un peu différente des autres. Surnommé ransomhack par l’éditeur bulgare, il diffère du ransomware traditionnel au fait que les données ne sont pas bloquées, mais elles sont rendues publiques à moins qu’une rançon ne soit payée. En les rendant publiques, les cybercriminels placent les entreprises victimes sous le joug des sanctions du RGPD. Ce dernier impose aux sociétés d’assurer un haut niveau de protection sur les données.
1000 à 2000 dollars de rançon pour éviter une sanction RGPD
Les cyberpirates tentent donc de pousser les organisations à la faute et parient sur le fait que ces dernières préfèreront payer une rançon plutôt que de subir une enquête se traduisant par une sanction. L’équation économique est facile, payer une rançon comprise entre 1000 et 2000 dollars en cryptomonnaies ou risquer jusqu’à 20 millions de dollars ou 4% du chiffre d’affaires d’amende.
En même temps, payer la rançon comporte également un risque, car dans le RGPD, les entreprises victimes d’une violation de données ont 72 heures pour informer de l’incident. En cas d’oubli, elles peuvent être sanctionnées. Sans parler de la mauvaise publicité et de l’impact sur les clients.
Les cyberpirates surfent sur la vague du RGPD, car le terreau est favorable. Beaucoup d’entreprises sont en retard dans la mise en œuvre de la réglementation européenne et sont donc vulnérables. Certes les autorités de régulation sont bienveillantes à condition que les entreprises aient commencé à travailler sur la mise œuvre du RGPD.
Le ransomware ne faiblit pas
En France, le phénomène du ransomware progresse même si les plaintes se révèlent relativement faibles comme le montre le rapport sur l’état des cybermenaces du ministère de l’Intérieur. Sur l’année 2017, 420 procédures ont été déposées auprès des différents services de police et de gendarmerie. Un chiffre bas par rapport à la vague de Wannacry qui a impacté beaucoup d’entreprises et non des moindres en France, Renault, Saint Gobain, etc.
On pensait que le RGPD allait augmenter le niveau de sécurité des entreprises. Par contre, on était loin d’imaginer qu’il pourrait servir de moyen de chantage pour obtenir une rançon…