Les hackeurs : les premiers à monétiser la GDPR

28 juin 2018
Les hackeurs : les premiers à monétiser la GDPR
Inside

Situation :
La GDPR (Loi européenne sur la protection des données) impose des amandes très salées aux compagnies qui n’ont pas protégé correctement leurs données personnelles. Lorsque des données personnelles se font voler, une compagnie risque en effet de se voir infliger une amende équivalent à 4% de son chiffre d’affaires mondial. C’est justement cette peur de l’amande qui intéresse les hackeurs.

Analyse :
Les hackeurs cherchent toujours à rentabiliser leurs attaques. Ces dernières années, nous avons vu une grande croissance des attaques de ransomware, qui rentabilisent sur la valeur qu’une donnée a pour son propriétaire, et des attaques de cryptominer, qui rentabilisent les ressources physiques d’une machine hackée. La GDPR offre une nouvelle opportunité pour les pirates informatiques, car ces derniers maintenant cherchent à voler des données personnelles aux entreprises pour ensuite faire du chantage de les publier sur internet. Cette forme de chantage menace la victime (la compagnie hackée) de publier les informations volées, les exposants ainsi à l’amande du GDRP ou bien de payer une rançon afin que les hackeurs détruisent les données volées. Ce nouveau concept de « RansomHack » a été surtout été remarqué en Bulgarie ou plusieurs compagnies ont témoigné d’en avoir été victime, mais va très vite se propager à travers l’Europe et probablement la Suisse.

Avis personnel :
En cyber-sécurité, on doit protéger une information en fonction de sa valeur (qu’elle a pour l’entreprise, qu’elle a pour les concurrents, qu’elle couterait à reproduire, etc..). La GDPR change l’évaluation qu’une entreprise doit faire de ces données, car elle peut avoir un coût de protection bien supérieur que celle de sa valeur réelle. Si une entreprise était amandée de 300’000.- CHF en cas de vol de donnée, les pirates pourraient facilement demander 50’000.- CHF pour ne pas les publier ; dans ce contexte, les hackeurs sont prêts à investir des sommes considérables pour leurs piratages, bien au-delà de la valeur intrinsèque de ces données. Cette situation force donc les entreprises à les protéger avec des investissements supérieurs à ceux qui feraient du sens.

Si vous souhaitez plus d’information et des explications complémentaires sur l’incident, les conséquences, et les leçons à apprendre, n’hésitez pas à me contacter.

Steven Meyer
Partner & CEO
Ing. EPFL, CISSP

ZENData Sarl

 

Recommandé pour vous

 
Édito de Thierry DIME – Femmes dirigeantes : entre brillance et réticences
Édito de Thierry DIME – Femmes dirigeantes : entre brillance et réticences
Prise de parole en public : la compétence clé pour un dirigeant
Prise de parole en public : la compétence clé pour un dirigeant
BRAFA 2025, une septantième édition sous le signe du chromatisme festif
BRAFA 2025, une septantième édition sous le signe du chromatisme festif
Quand la prospérité cache la précarité
Quand la prospérité cache la précarité
Joyeux Noël et Bonne Année
Joyeux Noël et Bonne Année
Un An avec l’IA : Entre Réflexions et Révolutions
Un An avec l’IA : Entre Réflexions et Révolutions