RGPD: face à la multiplication des arnaques, la France désarmée

Casse-tête pour les entreprises: la mise en place du RGPD, règlement européen destiné à sécuriser les donnes personnelles qu’elles détiennent, s’est accompagnée de nouvelles arnaques en ligne. Alors que les PME se débrouillent tant bien que mal pour l’appliquer et ne pas se faire rançonner, Facebook et Google passent au-dessus.
Sputnik

Les cyberpirates surfent sur la peur des sanctions: avec la mise en application du RGPD, le règlement européen qui devait augmenter le niveau de sécurité des entreprises, de nouvelles arnaques ont vu le jour. Ce «Règlement général sur la protection des données» fixe aux entreprises un cadre pour le traitement et la circulation des données à caractère personnel et expose ces dernières à de lourdes sanctions en cas de manquement: jusqu'à 4% du chiffre d'affaires mondial.

Protection des données personnelles: les Européens face au Cloud Act US… et aux GAFA!
«Sachant cela, des petits malins profitent de la situation pour imaginer une nouvelle arnaque qui marche sur un principe extrêmement simple», explique Charles Préaux, Fondateur et directeur de l'école d'ingénieurs en cyberdéfense au sein de l'École Nationale Supérieure d'Ingénieurs de Bretagne Sud:

«Ils s'introduisent dans le système d'information de l'entreprise et indiquent à l'entreprise que si elle ne paie pas une rançon, ils organiseront une fuite de donnée massive, pour montrer que l'entreprise ne gère pas ses coordonnées correctement.»

Nouvelle version du ransomware, qui, lui, bloque l'accès aux données de l'utilisateur en les chiffrant et demande une rançon pour les rendre à nouveau lisibles, le «ransomhack» ne prend pas la peine de chiffrer les données, mais menace simplement d'une fuite publique massive…

C'est de «l'ingénierie sociale», d'après Yannick Harrel, expert et professeur en cyberstratégie, auteur de plusieurs ouvrages sur le monde cyber. «Il s'agit moins d'une prouesse technique, qui exploite des failles, que de jouer sur la peur de risquer une grosse sanction»:

«Ils savent que toutes les entreprises, PME, grands groupes, ne sont pas toutes prêtes à 100% pour appliquer le RGPD. C'est moins une exploitation de donnée que du chantage, parce qu'on sait que telle entreprise n'a pas fait le nécessaire […] Les entreprises ont peur de ces fuites, alors que la sanction n'est pas si brutale.»

Loi sur la protection des données: les entreprises dans le collimateur, pas les États
Une autre arnaque a vu le jour, «beaucoup plus grossière», qui consiste à envoyer un faux formulaire intitulé «Déclaration normale RGPD», censé imiter la rhétorique de la CNIL. «Un simple mail, avec le logo de la CNIL, demandant à l'entreprise une mise en conformité moyennant finance, est une arnaque grossière», explique Charles Préaux: «la demande de rançon, c'est vieux comme le monde. Aujourd'hui, elle s'appuie sur le numérique». Quelques jours avant la mise en œuvre du RGPD, le ministère de l'Intérieur publiait un rapport, alertant sur une cybermenace «de plus en plus prégnante et protéiforme». Malgré les avertissements, il reste difficile d'anticiper les nouvelles fraudes issues de l'imagination des cybercriminels:

«Il y un malware nouveau, ou appelons ça virus pour faire plus simple, qui naît dans le cyberespace toutes quatre secondes. Quand on voit le temps, l'énergie, les moyens financiers et humains pour analyser un virus et trouver l'antidote, on est dans une approche ou, de toute manière, les forces d'attaque ont une avance opérationnelle colossale.»

Pourtant la France se veut une nation «en pointe» dans la lutte contre le fléau du piratage informatique, comme le déclarait Gérard Collomb, en préambule du rapport, qui souligne en outre que près de 80% des entreprises ont constaté avoir été victimes au moins une fois d'une cyberattaque en 2017. Attaques en hausse de 32% entre 2016 et 2017, avec plus de 63.500 cas portés à la connaissance de la gendarmerie.

«Faire des promesses politiques sur le fait que la France doit être exemplaire, je laisse le Premier ministre mettre en œuvre les moyens, mais c'est extrêmement difficile, aussi bien pour le système régalien que pour le système privé.»

Respect de la vie privée: Mark Zuckerberg va tenter de rassurer les Européens
«L'abandon de souverainement de la filière du numérique dans un pays comme le nôtre» explique l'asymétrie «qui se creuse» entre l'attaque et la défense, en faveur de la première. «Sur le plan de la technologie, nous sommes très dépendants de filières de pays étrangers», contrairement à ce que la France était capable de faire «il y a trente ans», déplore M. Préaux:

«Aujourd'hui, un pays comme le nôtre ne maîtrise plus les technologies centrales qui sont au cœur de la protection des systèmes. On ne fabrique plus de système d'exploitation, d'ordinateur, de réseaux, de bases de données, etc.»
À qui profite le cybercrime? Il y a une « lecture positive des choses », poursuit M. Préaux: « Certaines entreprises, qui ont pignon sur rue et ont un vrai savoir-faire dans la mise en application du RGPD, et sont aujourd'hui noyée sous la demande ».

Pour les autres, la CNIL a publié des guides et tutoriels comme "RGPD: ce qui change pour les pros", ou encore le "Guide de sensibilisation pour les petites et moyennes entreprises" élaboré en partenariat avec Bpifrance.

Mais tandis que certaines peinent à le faire appliquer ou traînent à le faire, et se voient la cible de hackers, les géants du Web se moquent des sanctions et déploient leurs moyens pour mieux contourner le RGPD et manipuler les consommateurs.

Discuter