Publié le 15 mai 2017

SOCIAL

Cyberattaque : les entreprises bientôt forcées de garantir la protection des données personnelles

Depuis vendredi 12 mai, une cyberattaque "d’un niveau sans précédent" a touché près de 200 000 organisations, essentiellement des entreprises, dans au moins de 150 pays. En France, une dizaine de sociétés, dont Renault, ont été victimes de ce ransomware (rançongiciel). La responsabilité des sociétés, qui n’ont pas mis à jour leur système d’exploitation, est en cause. Une nouvelle réglementation européenne les obligera, dès 2018, à mieux protéger les données personnelles. Un droit citoyen car ces bases de données sont des mines d'informations sur chaque européen.


Frank Duenzl / Picture alliance / DPA

C’est une cyberattaque "d’un niveau sans précédent", selon Europol. Vendredi 12 mai, un ransomware appelé WannaCrypt s’est installé dans le parc informatique de milliers d’entreprises, faisant, pour l’instant 200 000 victimes dans au moins 150 pays.

Concrètement, ce logiciel malveillant crypte les données détenues par les entreprises. Lorsque vous allumez votre ordinateur, il vous propose de vous redonner l’accès à ces informations en échange d’une rançon payée en bitcoins, une cryptomonnaie totalement intraçable. Les victimes auraient trois jours pour payer la somme avant que celle-ci ne double. Après sept jours, les données seraient supprimées.  

Au Royaume-Uni, le système informatique des hôpitaux a été piraté, obligeant l’annulation des opérations chirurgicales et la fermeture d’accès aux urgences, en Grèce des universités ont été ciblées, en Russie des banques, en Allemagne le réseau ferré, en France, c’est le constructeur automobile de Renault qui a été la première victime de ce "rançongiciel".

Mais une dizaine d’entreprises françaises, dont les noms n’ont pas été dévoilés, l’auraient également été selon l’ANSSI, l’Agence nationale de la sécurité des systèmes d’informations. Il faut s’attendre à des "répliques régulières" a prévenu le patron de l’Agence, Guillaume Poupart, au micro de France Inter ce lundi 15 mai.  


"Les organisations touchées n’ont pas été contentieuses"

 

Pour Renault, le coup est dur. Sa plus importante usine, celle de Douai dans le Nord, sera ce lundi à l’arrêt pour "éviter la propagation du virus", a expliqué un porte-parole du groupe. "On a reçu des messages de la direction, on ne travaille pas demain", a déclaré dimanche David Dubois, secrétaire générale CGT à Douai. C’est donc 5 500 employés qui subiront un chômage technique aujourd’hui.  

Ce piratage était-il évitable ? Oui, car la cyberattaque a ciblé une ancienne version du système d’exploitation Windows, estime Paul Pratley de MWR InfoSecurity, société londonienne de sécurité informatique. Un vieux système pour lequel Microsoft ne fournit même plus de correctifs. Ainsi, si les organisations touchées avaient mis à jour leur système d’exploitation ou équipé leur ordinateurs de dispositifs plus développés pour les protéger, l’attaque aurait pu être évitée explique Paul Pratley à l'agence Reuters. "Très clairement, ils n’ont pas été consciencieux. Ils auraient pu prendre des mesures pour limiter ces risques", estime-t-il.  

D’autant que la protection des données personnelles est une des responsabilités des entreprises. La CNIL, la Commission nationale de l’information et des libertés, l’a placée en "priorité absolue pour 2017". Et les entreprises ont jusqu'au 25 mai 2018 pour appliquer la nouvelle réglementation européenne sur la protection des données personnelles (RGPD). Toutes les entreprises gérants des données de citoyens européens sont concernées. En cas de non-conformité, les sanctions sont lourdes : 4% du chiffre d’affaires.  

 

Protection des données : les entreprises françaises en retard    

 

Le but est d'unifier les règles nationales pour l’ensemble de l’Union européenne. Or, selon une récente étude de Veritas Global Databerg, seuls 22% des données stockées par les entreprises françaises sont identifiées, archivées ou sécurisées. Et sont donc qualifiées de "Clean data".

"D’ici 2020, la quantité de données récoltées aura atteint 40 Zettaoctets (Zo)", explique d'ailleurs Symantec, société de sécurité informatique. En 2015, les données  représentaient 7,9 Zo. "Avec pareil déluge informationnel les entreprises ne savent plus quelles données elles détiennent, qui les contrôle et comment les traiter", assure la société.  

Avec cette nouvelle réglementation, la responsabilité des entreprises prend une autre envergure.  Dès la conception d’un service ou d’un produit, l’entreprise devra intégrer la protection des données. C’est le concept de privacy by design et by default. Parmi les nouvelles obligations, celles de prévenir la CNIL en cas de violation de données à caractère personnel, tel un piratage, dans les 72h. Mais sur ces sujets, les entreprises françaises sont en retard. Selon une consultation menée par le Medef, seules 10% d'entre elles pensent être prêtes pour 2018.

 

Pour en savoir plus, voir la formation de Novethic sur les entreprises face aux risques liés au big data

Marina Fabre
© 2017 Novethic - Tous droits réservés

‹‹ Retour à la liste des articles

Voir nos offres