Publié le 15 mai 2017

SOCIAL

Cyberattaque : les entreprises bientôt forcées de garantir la protection des données personnelles

Depuis vendredi 12 mai, une cyberattaque "d’un niveau sans précédent" a touché près de 200 000 organisations, essentiellement des entreprises, dans au moins de 150 pays. En France, une dizaine de sociétés, dont Renault, ont été victimes de ce ransomware (rançongiciel). La responsabilité des sociétés, qui n’ont pas mis à jour leur système d’exploitation, est en cause. Une nouvelle réglementation européenne les obligera, dès 2018, à mieux protéger les données personnelles. Un droit citoyen car ces bases de données sont des mines d'informations sur chaque européen.


Frank Duenzl / Picture alliance / DPA

C’est une cyberattaque "d’un niveau sans précédent", selon Europol. Vendredi 12 mai, un ransomware appelé WannaCrypt s’est installé dans le parc informatique de milliers d’entreprises, faisant, pour l’instant 200 000 victimes dans au moins 150 pays.

Concrètement, ce logiciel malveillant crypte les données détenues par les entreprises. Lorsque vous allumez votre ordinateur, il vous propose de vous redonner l’accès à ces informations en échange d’une rançon payée en bitcoins, une cryptomonnaie totalement intraçable. Les victimes auraient trois jours pour payer la somme avant que celle-ci ne double. Après sept jours, les données seraient supprimées.  

Au Royaume-Uni, le système informatique des hôpitaux a été piraté, obligeant l’annulation des opérations chirurgicales et la fermeture d’accès aux urgences, en Grèce des universités ont été ciblées, en Russie des banques, en Allemagne le réseau ferré, en France, c’est le constructeur automobile de Renault qui a été la première victime de ce "rançongiciel".

Mais une dizaine d’entreprises françaises, dont les noms n’ont pas été dévoilés, l’auraient également été selon l’ANSSI, l’Agence nationale de la sécurité des systèmes d’informations. Il faut s’attendre à des "répliques régulières" a prévenu le patron de l’Agence, Guillaume Poupart, au micro de France Inter ce lundi 15 mai.  


"Les organisations touchées n’ont pas été contentieuses"

 

Pour Renault, le coup est dur. Sa plus importante usine, celle de Douai dans le Nord, sera ce lundi à l’arrêt pour "éviter la propagation du virus", a expliqué un porte-parole du groupe. "On a reçu des messages de la direction, on ne travaille pas demain", a déclaré dimanche David Dubois, secrétaire générale CGT à Douai. C’est donc 5 500 employés qui subiront un chômage technique aujourd’hui.  

Ce piratage était-il évitable ? Oui, car la cyberattaque a ciblé une ancienne version du système d’exploitation Windows, estime Paul Pratley de MWR InfoSecurity, société londonienne de sécurité informatique. Un vieux système pour lequel Microsoft ne fournit même plus de correctifs. Ainsi, si les organisations touchées avaient mis à jour leur système d’exploitation ou équipé leur ordinateurs de dispositifs plus développés pour les protéger, l’attaque aurait pu être évitée explique Paul Pratley à l'agence Reuters. "Très clairement, ils n’ont pas été consciencieux. Ils auraient pu prendre des mesures pour limiter ces risques", estime-t-il.  

D’autant que la protection des données personnelles est une des responsabilités des entreprises. La CNIL, la Commission nationale de l’information et des libertés, l’a placée en "priorité absolue pour 2017". Et les entreprises ont jusqu'au 25 mai 2018 pour appliquer la nouvelle réglementation européenne sur la protection des données personnelles (RGPD). Toutes les entreprises gérants des données de citoyens européens sont concernées. En cas de non-conformité, les sanctions sont lourdes : 4% du chiffre d’affaires.  

 

Protection des données : les entreprises françaises en retard    

 

Le but est d'unifier les règles nationales pour l’ensemble de l’Union européenne. Or, selon une récente étude de Veritas Global Databerg, seuls 22% des données stockées par les entreprises françaises sont identifiées, archivées ou sécurisées. Et sont donc qualifiées de "Clean data".

"D’ici 2020, la quantité de données récoltées aura atteint 40 Zettaoctets (Zo)", explique d'ailleurs Symantec, société de sécurité informatique. En 2015, les données  représentaient 7,9 Zo. "Avec pareil déluge informationnel les entreprises ne savent plus quelles données elles détiennent, qui les contrôle et comment les traiter", assure la société.  

Avec cette nouvelle réglementation, la responsabilité des entreprises prend une autre envergure.  Dès la conception d’un service ou d’un produit, l’entreprise devra intégrer la protection des données. C’est le concept de privacy by design et by default. Parmi les nouvelles obligations, celles de prévenir la CNIL en cas de violation de données à caractère personnel, tel un piratage, dans les 72h. Mais sur ces sujets, les entreprises françaises sont en retard. Selon une consultation menée par le Medef, seules 10% d'entre elles pensent être prêtes pour 2018.

 

Pour en savoir plus, voir la formation de Novethic sur les entreprises face aux risques liés au big data

Marina Fabre
© 2020 Novethic - Tous droits réservés

‹‹ Retour à la liste des articles

SOCIAL

Droits humains

Le respect des droits humains par les entreprises est devenu crucial pour les investisseurs ou les ONG. Elles dénoncent les violations commises contre des peuples autochtones ou les communautés locales ce qui peut compromettre de nombreux projets, en particulier dans le secteur extractif.

Violences conjugales coronavirus

Violences conjugales, l'épidémie ignorée

C'est l'épidémie dont on ne parle pas et qui fait pourtant des ravages. Avec le confinement lié au Coronavirus, les violences conjugales ont explosé d'un tiers dans l'Hexagone. Si le gouvernement s'organise via des dispositifs d'alerte dédiés et un fonds d'un million d'euros pour aider les...

On va s en sortir sans sortir solidarite citoyenne

Avec le Coronavirus, les initiatives citoyennes solidaires se multiplient

Alors que la crise du Coronavirus oblige un tiers de l’humanité à se confiner, les actes de solidarité se multiplient en France. Prêts d’appartements pour les soignants, bénévolat dans les associations, aide entre voisins, confection d’un plat pour le personnel hospitalier… Les citoyens passent à...

"Plus jamais ça !" : 18 syndicats et associations environnementales s'unissent pour préparer le jour d’après

La CGT, la Confédération paysanne ou encore la FSU se sont alliés avec de plusieurs associations environnementales telles que Greenpeace, Oxfam ou Attac pour préparer l'après-coronavirus. Ils appellent à la relocalisation de nos systèmes productifs, au renforcement des services publics et au...

Confinement population Etats Unis Coronavirus JohnNacion NurPhoto

Coronavirus : plus deux milliards de personnes confinées dans le monde et 25 millions d’emplois menacés

De Rome à New York en passant par Paris, deux milliards de personnes dans le monde sont confinées chez elles ce week-end, dans l'espoir d'enrayer la pandémie de coronavirus, qui a déjà fait plus de 16 000 morts et menace de priver d'emplois des millions de personnes. ET les chiffres devraient...