Cyberattaques post RGPD : le scénario catastrophe

[EXCLUSIF] À moins de quelques jours de la date d’entrée en vigueur du Règlement général sur la protection des données (RGPD), seul un tiers des entreprises admettent être réellement en conformité[1]. Pourtant, elles ont toutes conscience à ce stade de l’importance de cette nouvelle réglementation et de ses conséquences sur leur organisation. Si elles en sont encore à se demander comment s’y conformer, il est peu probable qu’elles y parviennent d’ici le 25 mai prochain. Alors que se passera-t-il lorsque l’une d’entre elles sera inévitablement confrontée à une violation massive de ses données ?

Cyberattaques post RGPD : le scénario catastrophe

Julien Tarnowski, Directeur régional France et Luxembourg chez ForeScout

Imaginons que ce soit le cas d’une société internationale cotée, qui réalise plus d’un milliard d’euros de chiffre d’affaires. Pour quels raisons pourrait-elle subir une violation de données, quelles mesures cette société aurait-elle pu prendre pour se protéger (au-delà de sa mise en conformité avec le RGPD) et quel en serait l’impact dans un monde post-RGPD ?

Projetons-nous pour cela à l’été 2018. Le RGPD est en vigueur depuis deux mois et jusque-là aucune entreprise mondiale n’a subi de violation de données, ou du moins ne l’a fait publiquement savoir. Or, on apprend qu’une société cotée a vu son réseau piraté un mois plus tôt et n’en a pas informé ses clients. Pire, il apparaît que cette même société n’était alors pas en totale conformité avec le RGPD. Quelles en sont les conséquences pour cette dernière ? Elle devra non seulement dépenser une somme d’argent considérable pour reprendre le contrôle de son réseau, mais egalement faire face à la perte de confiance de ses clients et très probablement affronter une chute de son cours en Bourse.

L’absence d’anticipation coûte cher

La préparation est essentielle pour éviter un tel revers financier en cas de violation de données. L’étape la plus difficile à franchir en vue d’une mise en conformité au RGPD est probablement l’identification et la localisation de toutes les données afin de s’assurer que chaque appareil pouvant y accéder est correctement protégé. Toutefois, dans une grande entreprise implantée à l’international, c’est beaucoup plus facile à dire qu’à faire ; en particulier dans les sociétés cotées en bourse où les informations personnelles identifiables (PII) sont souvent stockées sur un nombre considérable d’appareils disséminés sur de vastes réseaux partout dans le monde.

Guide RGPD et collaborateurs

Par exemple, si un employé se connecte au serveur de l’entreprise depuis son smartphone personnel à Paris et que celui-ci a été corrompu, il pourrait servir à voler des données sensibles stockées sur le réseau de l’entreprise. Une simple imprimante ou même une montre connectée peut servir de point d’entrée pour un individu malveillant. Alors que Gartner prédit qu’il y aura plus de 20 milliards d’objets connectés d’ici 2020 et que 25 % des cyberattaques visant des entreprises proviendront de ces objets, la menace est bel et bien réelle[2].

Il est fort probable que l’entreprise qui s’est fait voler ses données n’avait pas encore automatisé son processus d’appliaction de patchs de sécurité, laissant, en cela, une plus grande surface d’attaque de son réseau aux individus malveillants prompts à exploiter les failles connues des logiciels. Alors que 80 % des cyberattaques ciblent des failles connues[3], les entreprises doivent prendre conscience de la complexité du traitement des données et s’organiser en conséquence. Une fois tous les appareils identifiés, elles doivent mettre en place un processus automatisé garantissant qu’ils ne peuvent accéder au réseau que s’ils utilisent les toutes dernières versions logicielles, y compris les patchs de sécurité à jour.

En réalité, aucune entreprise ne peut totalement se prémunir du vol de ses données mais le fait de réduire les points d’entrée potentiels et d’obtenir une visibilité totale de l’activité des appareils connectés au réseau donne l’assurance qu’en cas d’intrusion par un cybercriminel, celle-ci peut être circonscrite et les dégâts limités.

L’importance de ne pas dénigrer les conséquences

Dans notre exemple, les conséquences risquent d’être lourdes pour l’entreprise. Non seulement elle n’a pas pris les mesures adéquates pour se protéger des cyberattaques mais elle n’a pas non plus été en mesure de détecter la violation de ses données et donc de la notifier dans le délai de 72 heures fixé par le RGPD. Résultat, elle fera très vraisemblablement l’objet d’une intense surveillance de la part des autorités de contrôle pendant une période déterminée et se verra infliger une amende d’un montant proportionnel à la gravité du dommage subi.

Pour une violation d’envergure, l’amende peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel de l’entreprise, la valeur la plus élevée étant retenue. Dans le cas d’une entreprise cotée, ce sera très certainement la part du chiffre d’affaires qui s’appliquera. Sachant qu’au quatrième trimestre 2017 le bénéfice des entreprises cotées s’établissait en moyenne à 5,7 % de leur chiffre d’affaires mondial, une amende de 4 % peut annihiler presque en totalité leur résultat annuel[4].

Au-delà de la sanction financière, les dommages pour la réputation de l’entreprise ne peuvent être négligés. En cas de violation de données, bon nombre de clients seront tentés d’aller voir ailleurs. Et si on ajoute à cela l’effet désastreux sur l’image de marque et la mise sous surveillance par les autorités de contrôle, la perte de confiance des clients est totale. Il n’en faut pas plus pour ruiner définitivement certaines entreprises, et ce même sans amende conséquente.

Cependant, même s’il s’agit là d’un scénario potentiellement catastrophe à brève échéance, le point essentiel à retenir est qu’il est tout à fait possible de l’éviter. En se préparant sérieusement au RGPD et en ayant anticipé et mis en place les mesures de sécurité adéquates, les entreprises se donnent toutes les chances d’échapper à une future violation de données d’envergure. Même si le RGPD n’est pas une baguette magique pour éliminer les menaces, il va obliger les entreprises à être encore plus attentives à leur sécurité et à mieux résister aux cyberattaques.

[1] Source : https://martechtoday.com/forrester-report-third-companies-say-theyre-ready-gdpr-may-not-15211312

[2] Source : https://www.gartner.com/newsroom/id/3291817

[3] Source : https://www.sans.org/reading-room/whitepapers/cloud/cyber-security-trends-aiming-target-increase-security-2017-37702

[4] Source : https://www.share.com/siteassets/media/global/profit-watch/february-15/profitwatch-febfinal.pdf