Le RGPD : une médaille à deux faces
Entré en vigueur le 25 Mai 2018, le RGPD équivalent à GDPR en Anglais (General Data Protection Regulation) contraint les entreprises à respecter les principes de la gestion des données et des droits des citoyens européens. Le RGPD forme un cadre juridique qui définit des lignes directrices pour la collecte et le traitement des informations personnelles des individus au sein de l’Union Européenne (EU). Si les entreprises concernées sont victimes d’une attaque (mais pas nécessairement !) et qu’une violation de données se produit (le plus important !), elles risquent une amende pouvant atteindre 4% de leur chiffre d’affaires mondial total ou 20 millions d’euros (selon la valeur la plus élevée).
Cependant, les amendes exactes dépendent de nombreux facteurs tels que l’importance de la non-conformité, les éventuelles violations de données à caractère personnel, les mesures prises pour être conformes au RGPD, et le degré d’échec de la mise en place des mécanismes essentiels pour empêcher la violation des données. Le texte GDPR définit 2 niveaux d’amendes et les facteurs qui les engendrent dans le chapitre 8 (recours, responsabilités et pénalités, et donc aussi ces fameuses amendes) – dans 2 articles principaux : Article 83 (1) et Article 83 (2). L’une des dispositions les plus notables du RGPD est l’Article 33, soit l’obligation de notifier une violation de données ainsi que le plan de remédiation dans un délai de 72 heures. Ceci représente la face la plus noble du RGPD – le droit des peuples!
En revanche et si nous regardons l’évolution des cyber-attaques, ces dernières ont évolué très rapidement et ne montrent aucun signe de ralentissement. Auparavant, les programmeurs créaient et lançaient des logiciels malveillants, des virus ainsi que des spams malwares pour montrer au monde à quel point ils étaient brillants et pour gagner en notoriété. Aujourd’hui, nous vivons dans un monde très différent où les cyber-menaces et les attaques sont reconnues comme des défis mondiaux, avec de graves conséquences financières et de réputation. La communauté des cybercriminels est passée des cyber-fanatiques et de gangs organisés à des groupes nationaux et à des communautés de pirates dont les principaux objectifs sont : le vol des données, la destruction et le gain d’argent.
En parlant des attaques de groupe, il est devenu fréquent de parler des menaces des Etats. Citons par exemple l’attaque sur l’Estonie en 2007 ou celui du Stuxnet sur l’Iran en 2010. Selon le Rapport de FireEye de 2018, une très grosse partie des cyberattaques les plus économiquement dévastatrices de ces dernières années ont été provoquées par des sanctions Occidentales ou Américaines. Certains pays ciblés par ces sanctions, tels que la Russie et la Corée du Nord ont démontré qu’ils pouvaient répondre par des cyberattaques pouvant constituer une menace systématique pour l’économie mondiale. Le RGPD vient augmenter le coût financier des entreprises impactées (par les sanctions financières imposées) et a des retombées négatives sur la marque.
Le RGPD pourrait donc former un nouvel élan pour des cyber attaques au niveau des Nations pour envoyer des messages géo-politiques et aussi impacter l’économie des pays en question en visant des entreprises qui traitent des données des citoyens Européens – dont la plupart sont des entreprises Européennes ou Américaines. Ces entreprises vont subir des grosse pertes économiques – mais aussi une destruction de la réputation en local et à l’International.
Si on poursuit le raisonnement, le RGPD peut potentiellement pousser des entreprises à investir dans des attaques de cyber sécurité pour impacter l’état financier de leurs concurrents. Nous pourrions avoir des « Black Hat » mis à disposition des entreprises pour lancer des attaques contre les autres – le RGPD s’occupant du reste… En résumé, Le RGPD peut donc aussi avoir un côté obscur pour les entreprises et les Nations impactées. Ceci représente la face la plus sombre du RGPD – la stratégie des puissants!
Par Nabil Hachem, twitter :@nabilhac
Nabil Hachem