Publié le 15 mai 2017

SOCIAL

Cyberattaque : les entreprises bientôt forcées de garantir la protection des données personnelles

Depuis vendredi 12 mai, une cyberattaque "d’un niveau sans précédent" a touché près de 200 000 organisations, essentiellement des entreprises, dans au moins de 150 pays. En France, une dizaine de sociétés, dont Renault, ont été victimes de ce ransomware (rançongiciel). La responsabilité des sociétés, qui n’ont pas mis à jour leur système d’exploitation, est en cause. Une nouvelle réglementation européenne les obligera, dès 2018, à mieux protéger les données personnelles. Un droit citoyen car ces bases de données sont des mines d'informations sur chaque européen.


Frank Duenzl / Picture alliance / DPA

C’est une cyberattaque "d’un niveau sans précédent", selon Europol. Vendredi 12 mai, un ransomware appelé WannaCrypt s’est installé dans le parc informatique de milliers d’entreprises, faisant, pour l’instant 200 000 victimes dans au moins 150 pays.

Concrètement, ce logiciel malveillant crypte les données détenues par les entreprises. Lorsque vous allumez votre ordinateur, il vous propose de vous redonner l’accès à ces informations en échange d’une rançon payée en bitcoins, une cryptomonnaie totalement intraçable. Les victimes auraient trois jours pour payer la somme avant que celle-ci ne double. Après sept jours, les données seraient supprimées.  

Au Royaume-Uni, le système informatique des hôpitaux a été piraté, obligeant l’annulation des opérations chirurgicales et la fermeture d’accès aux urgences, en Grèce des universités ont été ciblées, en Russie des banques, en Allemagne le réseau ferré, en France, c’est le constructeur automobile de Renault qui a été la première victime de ce "rançongiciel".

Mais une dizaine d’entreprises françaises, dont les noms n’ont pas été dévoilés, l’auraient également été selon l’ANSSI, l’Agence nationale de la sécurité des systèmes d’informations. Il faut s’attendre à des "répliques régulières" a prévenu le patron de l’Agence, Guillaume Poupart, au micro de France Inter ce lundi 15 mai.  


"Les organisations touchées n’ont pas été contentieuses"

 

Pour Renault, le coup est dur. Sa plus importante usine, celle de Douai dans le Nord, sera ce lundi à l’arrêt pour "éviter la propagation du virus", a expliqué un porte-parole du groupe. "On a reçu des messages de la direction, on ne travaille pas demain", a déclaré dimanche David Dubois, secrétaire générale CGT à Douai. C’est donc 5 500 employés qui subiront un chômage technique aujourd’hui.  

Ce piratage était-il évitable ? Oui, car la cyberattaque a ciblé une ancienne version du système d’exploitation Windows, estime Paul Pratley de MWR InfoSecurity, société londonienne de sécurité informatique. Un vieux système pour lequel Microsoft ne fournit même plus de correctifs. Ainsi, si les organisations touchées avaient mis à jour leur système d’exploitation ou équipé leur ordinateurs de dispositifs plus développés pour les protéger, l’attaque aurait pu être évitée explique Paul Pratley à l'agence Reuters. "Très clairement, ils n’ont pas été consciencieux. Ils auraient pu prendre des mesures pour limiter ces risques", estime-t-il.  

D’autant que la protection des données personnelles est une des responsabilités des entreprises. La CNIL, la Commission nationale de l’information et des libertés, l’a placée en "priorité absolue pour 2017". Et les entreprises ont jusqu'au 25 mai 2018 pour appliquer la nouvelle réglementation européenne sur la protection des données personnelles (RGPD). Toutes les entreprises gérants des données de citoyens européens sont concernées. En cas de non-conformité, les sanctions sont lourdes : 4% du chiffre d’affaires.  

 

Protection des données : les entreprises françaises en retard    

 

Le but est d'unifier les règles nationales pour l’ensemble de l’Union européenne. Or, selon une récente étude de Veritas Global Databerg, seuls 22% des données stockées par les entreprises françaises sont identifiées, archivées ou sécurisées. Et sont donc qualifiées de "Clean data".

"D’ici 2020, la quantité de données récoltées aura atteint 40 Zettaoctets (Zo)", explique d'ailleurs Symantec, société de sécurité informatique. En 2015, les données  représentaient 7,9 Zo. "Avec pareil déluge informationnel les entreprises ne savent plus quelles données elles détiennent, qui les contrôle et comment les traiter", assure la société.  

Avec cette nouvelle réglementation, la responsabilité des entreprises prend une autre envergure.  Dès la conception d’un service ou d’un produit, l’entreprise devra intégrer la protection des données. C’est le concept de privacy by design et by default. Parmi les nouvelles obligations, celles de prévenir la CNIL en cas de violation de données à caractère personnel, tel un piratage, dans les 72h. Mais sur ces sujets, les entreprises françaises sont en retard. Selon une consultation menée par le Medef, seules 10% d'entre elles pensent être prêtes pour 2018.

 

Pour en savoir plus, voir la formation de Novethic sur les entreprises face aux risques liés au big data

Marina Fabre
© 2023 Novethic - Tous droits réservés

‹‹ Retour à la liste des articles

SOCIAL

Droits humains

Le respect des droits humains par les entreprises est devenu crucial pour les investisseurs ou les ONG. Elles dénoncent les violations commises contre des peuples autochtones ou les communautés locales ce qui peut compromettre de nombreux projets, en particulier dans le secteur extractif.

Dhaka Bangladesh conditions de travail 09b69f6b5a

Devoir de vigilance, six ans après : "Une loi aussi ambitieuse qui tient sur une page A4 ne peut pas être révolutionnaire"

La loi sur le devoir de vigilance, qui contraint les grandes entreprises à prévenir et réparer les violations des droits humains et environnementaux sur l'ensemble de leur chaîne de valeur tient-elle ses promesses ? Six ans après son adoption, le bilan est mitigé. La première et unique décision de...

Lena situations LOIC VENANCE AFP

Politisation des influenceurs : le tournant de la réforme des retraites

Fini la célèbre neutralité des influenceurs lifestyle ou mode ? Depuis l'annonce du 49.3, les stars des réseaux sociaux prennent position contre la réforme des retraites. Habituellement lisses et fuyant les sujets politiques, leur engagement marque une rupture. Mais attention à ne pas se brûler les...

Greve feministe journee internationale droits des femmes LIONEL BONAVENTURE AFP

"Le féminisme capitalismo-compatible mène au profit, pas à l'égalité", selon Sandrine Holin

Index de l'égalité, formation à la "confiance en soi", coaching pour booster sa carrière... les entreprises rivalisent de méthodes pour tendre vers l'égalité de genre. Mais un féminisme capitalismo-compatible qui sert les profits ne peut pas "briser le plafond de verre", dénonce Sandrine Holin dans...

Bamako Mali Russie milice Wagner Florent Vergnes AFP

Guerre hybride russe en Afrique : un front de propagande ouvert sur les réseaux sociaux (3/3)

La guerre de Poutine en Ukraine a permis de mesurer que les règles de la guerre avaient changé ou plutôt qu’elles étaient pulvérisées dans un monde de communication globale digitalisée. Si depuis un an les victimes ukrainiennes sont aussi bien civiles que militaires, l’affrontement se déroule aussi...