Cybercriminalité : Naissance du Ransomhack

Depuis l’application du RGPD, des entreprises ont été victimes de fraude. Réception de courrier, fax, mail douteux, tous se faisant passer sous une fausse identité de la CNIL. L’objet de ces courriers ? Régler des démarches administratives sans quoi leur mise en conformité ne serait pas valable … La CNIL met en garde les entreprises et donne quelques réflexes à adopter en cas de démarches un peu douteuse :  » Pratiques abusives – Mise en conformité RGPD »

Rappelons que les sanctions à la non conformité peuvent aller de 20 millions d’euros d’amende à 4% du chiffre d’affaire annuel. De quoi effrayer un bon nombre d’organismes. Seulement, la fraude n’est pas la seule à s’être emparer du phénomène RGPD.

Le Ransomhack : nouvelle méthode de pression

Nous avons déjà entendu parler du Ransomware. Cette méthode utilisée par des Cybercriminels consiste à s’infiltrer dans le système informatique d’une société, bloquer l’accès aux données utilisateurs en les cryptant et demander une rançon pour pouvoir les récupérer.

Aujourd’hui, la société  de sécurité bulgare Tad Group a repéré une nouvelle forme de cybercriminalité.  Le Ransomhack. Le cryptage et le blocage des données est ici, inutile.

Les Cybercriminels récupèrent toutes les données personnelles utilisateurs censées être protégées et les rendent publiques à moins de verser une rançon.

En rendant publique l’ensemble de ces données, les victimes risques de s’exposer aux sanctions liées au nouveau Règlement.

Des rançons pour éviter les sanctions.

Les acteurs de ces attaques ont bien cernés les craintes des entreprises et n’hésitent pas pour faire pression. Selon une étude menée par Talend,

70% DES ENTREPRISES INTERROGÉES NE SONT TOUJOURS PAS CONFORME À LA RÉGLEMENTATION DU RGPD.

Ce qui implique de lourdes conséquences en cas de fuite.

Pour s’assurer du règlement des rançons, les demandes n’excédent pas les 20.000 dollars.  Compte tenu du montant de l’amende demandée par la CNIL, payer les auteurs de ces attaques semble être une solution moins onéreuse pour une société.

Mais attention, toute entreprise victime de violation de données se doit d’en informer la CNIL dans un délais maximum de 72 heures. Sans quoi, d’autres sanctions seront à prévoir.

DOLCEVISTA VOUS ACCOMPAGNE SUR LA MISE EN CONFORMITÉ RGPD

Comment éviter ces attaques ?

D’après un sondage réalisé par KMG – « CEO Survey », 47% des chefs d’entreprises pensent être préparées face aux menace de cyber-attaques. Beaucoup restent sur la réserve.

Comment contrer toutes menaces pouvant porter atteinte à nos données ?
En protégeant les installations, en informant le personnel des bonnes pratiques et réflexes à avoir fasse à de faux email par exemple (une grande partie des infractions proviennent d’erreurs humaines), ou encore en effectuant des tests d’intrusion pour confirmer la sécurité du réseau informatique.

Pour aider les entreprises à adopter les bonnes pratiques, le site Cybermalveillance.gouv a récemment mis en ligne un Kit de sensibilisation sur les cyberattaques, téléchargeable gratuitement.