Publié le 15 mai 2017

SOCIAL

Cyberattaque : les entreprises bientôt forcées de garantir la protection des données personnelles

Depuis vendredi 12 mai, une cyberattaque "d’un niveau sans précédent" a touché près de 200 000 organisations, essentiellement des entreprises, dans au moins de 150 pays. En France, une dizaine de sociétés, dont Renault, ont été victimes de ce ransomware (rançongiciel). La responsabilité des sociétés, qui n’ont pas mis à jour leur système d’exploitation, est en cause. Une nouvelle réglementation européenne les obligera, dès 2018, à mieux protéger les données personnelles. Un droit citoyen car ces bases de données sont des mines d'informations sur chaque européen.


Frank Duenzl / Picture alliance / DPA

C’est une cyberattaque "d’un niveau sans précédent", selon Europol. Vendredi 12 mai, un ransomware appelé WannaCrypt s’est installé dans le parc informatique de milliers d’entreprises, faisant, pour l’instant 200 000 victimes dans au moins 150 pays.

Concrètement, ce logiciel malveillant crypte les données détenues par les entreprises. Lorsque vous allumez votre ordinateur, il vous propose de vous redonner l’accès à ces informations en échange d’une rançon payée en bitcoins, une cryptomonnaie totalement intraçable. Les victimes auraient trois jours pour payer la somme avant que celle-ci ne double. Après sept jours, les données seraient supprimées.  

Au Royaume-Uni, le système informatique des hôpitaux a été piraté, obligeant l’annulation des opérations chirurgicales et la fermeture d’accès aux urgences, en Grèce des universités ont été ciblées, en Russie des banques, en Allemagne le réseau ferré, en France, c’est le constructeur automobile de Renault qui a été la première victime de ce "rançongiciel".

Mais une dizaine d’entreprises françaises, dont les noms n’ont pas été dévoilés, l’auraient également été selon l’ANSSI, l’Agence nationale de la sécurité des systèmes d’informations. Il faut s’attendre à des "répliques régulières" a prévenu le patron de l’Agence, Guillaume Poupart, au micro de France Inter ce lundi 15 mai.  


"Les organisations touchées n’ont pas été contentieuses"

 

Pour Renault, le coup est dur. Sa plus importante usine, celle de Douai dans le Nord, sera ce lundi à l’arrêt pour "éviter la propagation du virus", a expliqué un porte-parole du groupe. "On a reçu des messages de la direction, on ne travaille pas demain", a déclaré dimanche David Dubois, secrétaire générale CGT à Douai. C’est donc 5 500 employés qui subiront un chômage technique aujourd’hui.  

Ce piratage était-il évitable ? Oui, car la cyberattaque a ciblé une ancienne version du système d’exploitation Windows, estime Paul Pratley de MWR InfoSecurity, société londonienne de sécurité informatique. Un vieux système pour lequel Microsoft ne fournit même plus de correctifs. Ainsi, si les organisations touchées avaient mis à jour leur système d’exploitation ou équipé leur ordinateurs de dispositifs plus développés pour les protéger, l’attaque aurait pu être évitée explique Paul Pratley à l'agence Reuters. "Très clairement, ils n’ont pas été consciencieux. Ils auraient pu prendre des mesures pour limiter ces risques", estime-t-il.  

D’autant que la protection des données personnelles est une des responsabilités des entreprises. La CNIL, la Commission nationale de l’information et des libertés, l’a placée en "priorité absolue pour 2017". Et les entreprises ont jusqu'au 25 mai 2018 pour appliquer la nouvelle réglementation européenne sur la protection des données personnelles (RGPD). Toutes les entreprises gérants des données de citoyens européens sont concernées. En cas de non-conformité, les sanctions sont lourdes : 4% du chiffre d’affaires.  

 

Protection des données : les entreprises françaises en retard    

 

Le but est d'unifier les règles nationales pour l’ensemble de l’Union européenne. Or, selon une récente étude de Veritas Global Databerg, seuls 22% des données stockées par les entreprises françaises sont identifiées, archivées ou sécurisées. Et sont donc qualifiées de "Clean data".

"D’ici 2020, la quantité de données récoltées aura atteint 40 Zettaoctets (Zo)", explique d'ailleurs Symantec, société de sécurité informatique. En 2015, les données  représentaient 7,9 Zo. "Avec pareil déluge informationnel les entreprises ne savent plus quelles données elles détiennent, qui les contrôle et comment les traiter", assure la société.  

Avec cette nouvelle réglementation, la responsabilité des entreprises prend une autre envergure.  Dès la conception d’un service ou d’un produit, l’entreprise devra intégrer la protection des données. C’est le concept de privacy by design et by default. Parmi les nouvelles obligations, celles de prévenir la CNIL en cas de violation de données à caractère personnel, tel un piratage, dans les 72h. Mais sur ces sujets, les entreprises françaises sont en retard. Selon une consultation menée par le Medef, seules 10% d'entre elles pensent être prêtes pour 2018.

 

Pour en savoir plus, voir la formation de Novethic sur les entreprises face aux risques liés au big data

Marina Fabre
© 2020 Novethic - Tous droits réservés

‹‹ Retour à la liste des articles

SOCIAL

Droits humains

Le respect des droits humains par les entreprises est devenu crucial pour les investisseurs ou les ONG. Elles dénoncent les violations commises contre des peuples autochtones ou les communautés locales ce qui peut compromettre de nombreux projets, en particulier dans le secteur extractif.

Manifestation beyrouth 8 aout GettyImage AFP

La colère sociale au Liban vire à la révolte

Quatre jours après les terribles explosions dans le port de Beyrouth qui a provoqué 158 morts, 6 000 blessés et plus de 300 000 sans abris, des dizaines de milliers de manifestants se sont rassemblés et ont tenté d'envahir les lieux de pouvoir de la capitale et les banques. En réponse, le Premier...

Manifestation antimasque a Berlin PaulZinken DPA DPAPICTUREALLIANCE AFP

[Édito] Refuser le port du masque : quand la folie complotiste met tout le monde en danger

L’épidémie de coronavirus va durer encore de nombreux mois et la hausse des nouveaux cas dont de nombreux pays comme la France poussent les gouvernements à imposer de nouveaux gestes de protection. La première barrière est le port du masque. Mais pour une communauté complotiste, très active sur les...

Explosion liban port conteneur a ble STR AFP

Corruption, défaillance, négligence... La colère sociale au Liban s’amplifie après l’accident chimique à Beyrouth

Le Liban, État en faillite et en pleine explosion sociale, va avoir beaucoup de mal à se relever de l’accident chimique qui s’est produit le 4 août dans le port de Beyrouth. Le gouvernement promet que les coupables paieront. Mais pour la population, c’est tout un système corrompu et défaillant qui...

Afp ouighours

Ouïghours : les appels au boycott contre Nike et Apple pour travail forcé fissurent le mur du silence

Les persécutions contre les Ouïghours, minorité musulmane chinoise, dans la province du Xinjiang, sont dénoncées depuis plus d’un an par les défenseurs des droits humains partout dans le monde. Leurs appels à la mobilisation contre l’omerta de la Chine sur ces exactions commencent enfin à produire...