Publié le 15 mai 2017

SOCIAL

Cyberattaque : les entreprises bientôt forcées de garantir la protection des données personnelles

Depuis vendredi 12 mai, une cyberattaque "d’un niveau sans précédent" a touché près de 200 000 organisations, essentiellement des entreprises, dans au moins de 150 pays. En France, une dizaine de sociétés, dont Renault, ont été victimes de ce ransomware (rançongiciel). La responsabilité des sociétés, qui n’ont pas mis à jour leur système d’exploitation, est en cause. Une nouvelle réglementation européenne les obligera, dès 2018, à mieux protéger les données personnelles. Un droit citoyen car ces bases de données sont des mines d'informations sur chaque européen.


Frank Duenzl / Picture alliance / DPA

C’est une cyberattaque "d’un niveau sans précédent", selon Europol. Vendredi 12 mai, un ransomware appelé WannaCrypt s’est installé dans le parc informatique de milliers d’entreprises, faisant, pour l’instant 200 000 victimes dans au moins 150 pays.

Concrètement, ce logiciel malveillant crypte les données détenues par les entreprises. Lorsque vous allumez votre ordinateur, il vous propose de vous redonner l’accès à ces informations en échange d’une rançon payée en bitcoins, une cryptomonnaie totalement intraçable. Les victimes auraient trois jours pour payer la somme avant que celle-ci ne double. Après sept jours, les données seraient supprimées.  

Au Royaume-Uni, le système informatique des hôpitaux a été piraté, obligeant l’annulation des opérations chirurgicales et la fermeture d’accès aux urgences, en Grèce des universités ont été ciblées, en Russie des banques, en Allemagne le réseau ferré, en France, c’est le constructeur automobile de Renault qui a été la première victime de ce "rançongiciel".

Mais une dizaine d’entreprises françaises, dont les noms n’ont pas été dévoilés, l’auraient également été selon l’ANSSI, l’Agence nationale de la sécurité des systèmes d’informations. Il faut s’attendre à des "répliques régulières" a prévenu le patron de l’Agence, Guillaume Poupart, au micro de France Inter ce lundi 15 mai.  


"Les organisations touchées n’ont pas été contentieuses"

 

Pour Renault, le coup est dur. Sa plus importante usine, celle de Douai dans le Nord, sera ce lundi à l’arrêt pour "éviter la propagation du virus", a expliqué un porte-parole du groupe. "On a reçu des messages de la direction, on ne travaille pas demain", a déclaré dimanche David Dubois, secrétaire générale CGT à Douai. C’est donc 5 500 employés qui subiront un chômage technique aujourd’hui.  

Ce piratage était-il évitable ? Oui, car la cyberattaque a ciblé une ancienne version du système d’exploitation Windows, estime Paul Pratley de MWR InfoSecurity, société londonienne de sécurité informatique. Un vieux système pour lequel Microsoft ne fournit même plus de correctifs. Ainsi, si les organisations touchées avaient mis à jour leur système d’exploitation ou équipé leur ordinateurs de dispositifs plus développés pour les protéger, l’attaque aurait pu être évitée explique Paul Pratley à l'agence Reuters. "Très clairement, ils n’ont pas été consciencieux. Ils auraient pu prendre des mesures pour limiter ces risques", estime-t-il.  

D’autant que la protection des données personnelles est une des responsabilités des entreprises. La CNIL, la Commission nationale de l’information et des libertés, l’a placée en "priorité absolue pour 2017". Et les entreprises ont jusqu'au 25 mai 2018 pour appliquer la nouvelle réglementation européenne sur la protection des données personnelles (RGPD). Toutes les entreprises gérants des données de citoyens européens sont concernées. En cas de non-conformité, les sanctions sont lourdes : 4% du chiffre d’affaires.  

 

Protection des données : les entreprises françaises en retard    

 

Le but est d'unifier les règles nationales pour l’ensemble de l’Union européenne. Or, selon une récente étude de Veritas Global Databerg, seuls 22% des données stockées par les entreprises françaises sont identifiées, archivées ou sécurisées. Et sont donc qualifiées de "Clean data".

"D’ici 2020, la quantité de données récoltées aura atteint 40 Zettaoctets (Zo)", explique d'ailleurs Symantec, société de sécurité informatique. En 2015, les données  représentaient 7,9 Zo. "Avec pareil déluge informationnel les entreprises ne savent plus quelles données elles détiennent, qui les contrôle et comment les traiter", assure la société.  

Avec cette nouvelle réglementation, la responsabilité des entreprises prend une autre envergure.  Dès la conception d’un service ou d’un produit, l’entreprise devra intégrer la protection des données. C’est le concept de privacy by design et by default. Parmi les nouvelles obligations, celles de prévenir la CNIL en cas de violation de données à caractère personnel, tel un piratage, dans les 72h. Mais sur ces sujets, les entreprises françaises sont en retard. Selon une consultation menée par le Medef, seules 10% d'entre elles pensent être prêtes pour 2018.

 

Pour en savoir plus, voir la formation de Novethic sur les entreprises face aux risques liés au big data

Marina Fabre
© 2022 Novethic - Tous droits réservés

‹‹ Retour à la liste des articles

SOCIAL

Droits humains

Le respect des droits humains par les entreprises est devenu crucial pour les investisseurs ou les ONG. Elles dénoncent les violations commises contre des peuples autochtones ou les communautés locales ce qui peut compromettre de nombreux projets, en particulier dans le secteur extractif.

Fifa Qatar 2022 coupe du monde football Giuseppe Cacace AFP

Qatar 2022 : la Coupe du monde, championne des controverses

Il s’agit de l’un des événements sportifs les plus attendus de la planète. Et aussi l’un des plus controversés. Droits humains élémentaires non respectés, soupçons de corruption, bilan climatique catastrophique… les dossiers pesant sur la Coupe du monde au Qatar se révèlent particulièrement lourds...

Qatar Vinci

Qatar 2022 : avec la mise en examen de Vinci, les controverses se multiplient à l’approche de la Coupe du monde

Travail forcé, mauvaises conditions d’hébergement, réduction en servitude… une filiale de Vinci vient d’être mise en examen en raison de ses pratiques sociales sur ses chantiers au Qatar, accusations que le groupe de BTP réfute. À seulement quelques jours de l’ouverture de la Coupe du monde, alors...

Discours du president egyptien Abdel Fattah al Sissi lors de la COP26 a Glasgow en E cosse le 1er novembre 2021 YVES HERMANPOOL AFP

COP27 : derrière les négociations climatiques, l’enjeu crucial des droits humains

La COP27 qui s'ouvre le 6 novembre prochain à Charm-el-Cheikh, en Egypte, doit permettre d'avancer sur la lutte contre le changement climatique. Mais elle peut aussi être l'opportunité pour la communauté internationale de mettre la pression sur le pays hôte, accusé d'être à l’origine de "l’une des...

Yan Rachinsky Oleg Orlov fondateur ONG Memorial Alexander Nemenov AFP

Les Nobels 2022 célèbrent la lutte contre la domination

Le Prix Nobel de littérature a été attribué à Annie Ernaux, celui de la paix à deux ONG, la russe Memorial et l’ukrainienne Centre pour les libertés civiles, ainsi qu’à l’opposant biélorusse Ales Bialiatski. Le comité Nobel a ainsi consacré la déconstruction de modèles de domination que ce soit à...