RGPD et cybercriminalité, restez armés !

 

Tombé dans le langage courant, le RGPD est de plus en plus sollicité que ce soit pour vos activités sur Internet ou encore pour vos données personnelles.  

Comment peut-on le définir  ? Quels risques & quelles conséquences pour votre organisation  ? 

 TOUR D’HORIZON SUR LE RGPD ET LA CYBERCRIMINALITÉ 

Initié par un constat de la Commission Européenne, ce règlement, entré en législation en 1995 a fait l’objet d’une refonte, compte-tenu des nombreuses évolutions technologiques.  

Le RGPD, Règlement Général sur la Protection des Données, encadre le traitement des données personnelles sur le territoire de l’Union Européenne. La nouvelle date de publication de ce règlement est le 27 avril 2016 et celle de sa mise en application, le 25 mai 2018. 

Les données personnelles sont définies par les notions suivantes, entre autres :  

  • Le numéro d’identifiant (par exemple pour un site où il faut une connexion avec son profil) ;  
  • Le nom ; 
  • L’adresse ; 
  • Le numéro de téléphone ; 
  • Adresse IP ; 
  • Les photos.

Les objectifs du RGPD sont multiples : 

  • Une protection des données à caractère personnel identique entre les habitants de l’UE (Union Européenne) ; 
  • Un cadre légal simplifié et allégé sur le traitement des données personnelles ; 
  • Une responsabilité de la part des entreprises dans le traitement des données à caractère dites « personnelles » de leurs clients qui leurs sont confiées.  

Après plusieurs mois d’indulgence, les instances gouvernementales en charge de le faire appliquer (en France, la CNIL ou Commission Nationale de l’Informatique et des Libertés) sont passées à l’offensive, en pénalisant financièrement les établissements qui dérogent aux respects de ces règles.  

306,3 millions d’euros.C’est le montant des amendes infligées dans le cadre du RGPD en 2020 au sein de l’Union Européenne ; avec ses 138,3 millions d’euros d’amendes, la France arrive en tête du classement (pour le montant total imputé) – selon les principales conclusions publiées sur le site  Finbold.  

Qu’il s’agisse de données à caractères personnel, confidentiel, professionnel (la liste peut être longue), chaque utilisation de ces dernières est soumise à des obligations afin de protéger la vie privée et les libertés individuelles de chacun. 

Et en cas de non-respect  ?   

Dans chaque pays de l’Union Européenne, ce sont les autorités compétentes et indépendantes qui s’occupent de veiller à la bonne application de ces règles. En France, la CNIL est en charge de contrôler l’application de la législation relative à la protection des données. 

Mais comment ces données peuvent se retrouver sur la place publique  ?  

Sans surprise, les actes cybercriminels arrivent dans le peloton de tête. Selon le site silicon.fr*, il faudrait 3 minutes à un hacker pour pirater un nouvel objet connecté. Une information qui fait bondir ! 

Encore une autre, à vous faire pâlir, cette fois : 5,6 millions de données personnelles (adresse e-mail, mot de passe, numéro de carte bleue, …) sont piratées ou perdues chaque année, selon le Breach Level index de Gemalto. Pour vous donner un ordre d’idées plus rationnel, cela revient à 232 644 par heure ou 65 par seconde ! 

Vous l’aurez compris être un cybercriminel aujourd’hui, c’est devenu un véritable business.   

D’ailleurs, saviez-vous qu’à l’instar des contes de fées ou fictions, il y a les bons et les méchants ? En effet, également appelés hackers, les cybercriminels peuvent se ranger du bon ou du mauvais côté. Nous parlerons d’hacker éthique ou non-éthique. Dans le premier cas, il s’agit d’un professionnel qui s’appuie sur ses connaissances dans un cadre légal et moral. À l’inverse, dans le second cas, le hacker non-éthique n’a pas de dogme ni de morale et se joue des lois pour arriver à ses fins. 

  • Les White Hat Hackers, ce terme correspond aux « bons » hackers, avec un niveau expert. Ils sont capables de protéger les systèmes informatiques des entreprises. D’ailleurs, il n’est pas rare que certaines d’entre elles travaillent main dans la main avec ces chevaliers blancs pour savoir si leur système est confronté à des vulnérabilités.  
  • Les Grey Hat Hacker, sont probablement ceux auxquels nous ne pouvons pas coller d’étiquette bien ou mal : ils peuvent hacker à des fins éthiques ou non. Ils sont intéressés par les systèmes de sécurité informatique pour les pousser dans leurs retranchements et en déceler les failles et limites.  
  • Les Black Hat Hackers, sont des cybercriminels qui possèdent de mauvaises intentions. Ce sont les « méchants » du système. Ils vont nuire intentionnellement aux organisations par le biais de différentes méthodes telles que, entre autres, l’escroquerie, le vol de données, l’espionnage, l’exploitation de données confidentiels.
    Les hacktivistes ont des cibles très précises : la politique, les systèmes des gouvernements, les organisations mondiales, les multinationales.
    Ensuite, ils vont divulguer les informations pour soit défendre une cause précise ou mettre en avant le mécontentement ou la révolution d’un peuple. Ils utilisent leurs actions pour dénoncer la censure ou encore la surveillance.  

Selon legifrance.gouv.fr, le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende. En termes de législation, le cybercriminel est donc considéré comme ayant une double identité : il possède à la fois une activité professionnelle et une activité d’escroc.  

Côté RGPD, la CNIL peut également prononcer des sanctions à son encontre parmi lesquelles : mise à pied, mutation, rétrogradation, licenciement pour faute grave ou lourde. 

ALORS, QUE METTRE EN PLACE POUR ÉVITER CES ACTES MALVEILLANTS ? 

Malgré tous les rappels à l’ordre que les différentes instances ont pu distribuer, bon nombre d’entreprises n’ont pas mis en place de plan d’investissement sur la protection de leur système d’informations et en deviennent vulnérables. Car si les données personnelles de prospects, clients (ou même partenaires) ont une forte valeur ajoutée, elles n’en sont pas moins (très) convoitées. 

Rappelez-vous, le hacking et la cybercriminalité sont des phénomènes qui peuvent toucher tout le monde  : de l’individu lambda aux professionnels (tous types d’entreprises). 

Donc, développer une culture de l’informatique et s’informer autrement que par la peur sont des réels atouts et permettent la sensibilisation et la prévention auprès des équipes. Comprendre les fondements du système informatique que nous utilisons reste, alors, indispensable.  

D’autant plus que, sans surprise, l’année 2020 a été propice à de nombreuses cyberattaques « exploitant la peur ». Vous avez probablement vu et / ou lu des articles de presse papier ou numérique qui titraient « Le virus rôde », « Les cyberattaques, l’autre pandémie mondiale », … En effet, les actes cybermalveillants ont été mis sur le devant de la scène eu égard au contexte sanitaire qui a exacerbé l’utilisation des nouvelles technologies et accru le recours au télétravail. 

Les solutions de sauvegarde en ligne du patrimoine documentaire de votre entreprise doivent être réfléchies et de bonne qualité afin d’assurer un système de sécurité pérenne pour l’ensemble de vos documents. Cela commence par une bonne définition des droits d’accès à telle information ou telle partie du serveur. En effet, tous les collaborateurs et les parties prenantes de votre organisation n’ont pas besoin d’accéder au même contenu pouvant ainsi différer selon leur fonction, leur position hiérarchique, etc… 

Vous pouvez même aller plus loin. Si vous traitez des données sensibles (ce qui peut être le cas dès lors que vous manipulez des informations clients, par exemple), vous devriez sérieusement envisager le cryptage de ces dernières lors de leur stockage et / ou de leurs envois par le biais numérique  ; tout ceci en établissant un protocole bien défini. 

Un autre point très important et, malheureusement, trop souvent négligé par bons nombres d’entre nous sont : les mots de passe. En effet, 60% des salariés de PME victimes d’une attaque utilisaient un mot de passe unique pour se connecter à l’ensemble de leurs programmes et plateformes, comme le souligne securityintelligence.com 

Les mots de passe instaurés doivent être efficaces et difficiles à deviner  : 

❌ Oubliez vos prénoms, noms de famille et autres dates d’anniversaire 

✅ Favorisez les combinaisons farfelues mêlant caractères spéciaux, majuscules et minuscules 

D’autres points doivent retenir votre attention et nécessiter de votre part un comportement vigilant (de tous les instants !) :  

  • La boîte e-mail avec les fausses demandes ou des liens cliquables « fake ». Les courriels professionnels erronés sont une mine d’or pour faire tomber des données sensibles dans les pièges des hackers. Cette technique est appelée « pishing » ou procédé consistant à compromettre une adresse e-mail professionnelle pour s’en attribuer la propriété afin de réaliser des opérations frauduleuses avec. 
  • Le développement de l’intelligence artificielle représente également de plus en plus une faille au niveau sécurité. L’utilisation des robots « botnets » sont des réseaux de machines contrôlées par un pirate. L’intelligence artificielle permet aux cybercriminels de détecter leurs cibles en automatisant le procédé pour les trouver. 
  • Pour le travail à distance, il est utile de définir une politique de travail mobile et crypter les données correctement pour éviter la fuite de données trop simplement. Adaptez votre plan de gestion pour le travail nomade où en cas de drame, les incidents seront liés à des usages nomades. De ce fait, les incidents de sécurité seront bien affiliés à un type d’usage en particulier.  

 C’est pour cela qu’il est primordial de mettre en place une politique de gestion des risques. Cette procédure vise à identifier les dangers éventuels, définir le niveau de risque que votre organisation peut tolérer et mettre en place les outils adaptés.  

POUR CONCLURE… 

La cybercriminalité est donc une menace permanente à prendre en compte que ce soit d’un point de vue personnel ou professionnel. Cette nouvelle activité est une des résultantes de tous les progrès technologiques. Pour la comprendre, s’en prémunir et l’endiguer, il convient de disposer des clés nécessaires : 

  • Réalisez des sauvegardes de manière régulière ; 
  • Sensibilisez vos collaborateurs à la cybercriminalité et à ses risques ; 
  • Appuyez-vous sur les compétences d’experts métier pour mettre en place votre stratégie de cybersécurité ; 
  • Mettez en place un PCA (Plan de Continuité de l’Activité) pour la gestion d’une éventuelle cyberattaque et un PRA (Plan de Reprise de l’Activité) pour la repise rapide de vos activité ; 
  • Adaptez-vous sans cesse aux dernières actualités dans le domaine de la cybersécurité par vos outils, vos procédures, vos méthodes 
  • Utilisez des outils les plus sécurisés possibles et fiables pour protéger les activités liées à votre infrastructure ; 
  • Respectez le RGPD au maximum pour les données personnelles de vos parties prenantes (leur traçabilité en sera assurée !) ; 
  • Et surtout, soyez proactifs et vigilants  !

 

 *source : « cybersécurité : les 10 chiffres qui font peur  » silicon.fr