L’apparente sévérité de la RGPD a fait apparaitre de nouveaux risques de cybercriminalité d’après un rapport d’Europol.
Un des éléments fondamentaux du nouveau Règlement Général sur la Protection des Données (RGPD, entré en vigueur en mai dernier) de renforcer et harmoniser la protection des données à caractère personnel. Cela passait notamment par une meilleure lutte contre les cybercriminels. L’explosion des actes de piraterie virtuels dans le monde – les attaques contre les monnaies électroniques ont augmenté de 8 500% par rapport à l’année 2017, et les attaques contre les Smartphones ont fait un bond de 54% – en fait aujourd’hui une des principales menaces criminelles en Europe. Aussi, l’UE voulait produire un cadre règlementaire qui protègerait davantage les internautes.
Pourtant, une étude d’Europol a porté un coup à cette idée. En effet, le texte pose une obligation pour les entreprises victimes de piratage informatique des données personnelles de leurs utilisateurs de prévenir les autorités compétentes – ainsi que les usagers dans la plupart des cas. Cependant, le rapport révèle que ces dernières préfèrent payer des pirates plutôt que d’ébruiter leurs défaillances sécuritaires. En effet, bien souvent, les entreprises attaquées ne respectent pas à la lettre l RGPD. Or, les violations sont passibles d’amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires –ce qui peut représenter des sommes colossales, supérieures à ce que demandent les pirates.
La société de cybersécurité bulgare Tad Group note que les rançons demandées s’élèvent entre 1.000 dollars et 20.000 dollars, en fonction de la taille des entreprises visées. « Les entreprises piratées préfèrent payer une rançon moins élevée aux pirates pour ne pas divulguer le piratage plutôt que d’avoir à payer une lourde amende imposée par l’autorité compétente », dévoile le rapport. La RGPD aurait donc un effet adverse. Et en refusant de jouer le jeu, elles « ne font que financer d’autres attaques et d’autres activités criminelles », sans avoir de réelle garantie que « le pirate ne divulguera ou n’exploitera pas l’information » souligne le rapport.
Pourtant, lors de la conférence sur la cybersécurité de la Confédération de l’industrie britannique qui s’est tenue à Londres le 12 septembre, James Dipple-Johnstone, commissaire adjoint aux opérations de l’autorité britannique chargée des droits à l’information, a reconnu que le Royaume-Uni « n’a pas infligé d’amendes pour les violations du nouveau règlement ». Cependant, la perception des CNIL sous l’empire de ce texte est plus proche d’institutions de flicage que de conseil et d’accompagnement. Aussi, cette image coercitive nuit au bon fonctionnement de la réglementation et profite à des cyberpirates opportunistes.
« Cela met l’accent sur la nécessité pour les organismes d’application de la loi de collaborer avec les décideurs, les législateurs et l’industrie afin d’avoir leur mot à dire sur la manière dont notre société évolue », conclut Catherine De Bolle, directrice exécutive d’Europol.