Ce que le RGPD dit à propos des ransomware
L’entrée en vigueur du RGPD approche à grands pas. Et de nombreuses entreprises s’évertuent désormais à mieux connaître ce nouveau règlement pour s’assurer d’être en conformité avec celui-ci.
Les professionnels déjà familiers du RGPD ont bien compris que l’objectif de l’UE est de fournir aux entreprises un cadre pour mieux gérer les données personnelles collectées auprès des clients. Les organisations doivent mieux sécuriser ces données, et savoir comment réagir au cas où elles en perdraient le contrôle.
L’essentiel ? Éviter les intrusions informatiques, et être en mesure d’intervenir au cas où elles se produiraient.
Le RGPD est un document juridique : il est donc important de bien saisir la définition d’une « violation de données à caractère personnel ». La voici (découvrez le document en intégralité ici) :
12) (Est entendue par) « violation de données à caractère personnel » une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.»
Les entreprises ont tendance à assimiler l’expression « violation de données » avec la perte de contrôle d’informations confidentielles. Mais la définition du RGPD est bien plus large. Cette définition inclut notamment les différents incidents de sécurité, comme les infections ransomware.
Qu’implique donc une telle définition pour les entreprises ? Selon Erka Koivunen, CISO chez F-Secure, les organisations ont l’obligation de faire état d’éventuelles infections ransomware auprès des autorités ainsi qu’auprès des clients affectés.
Vous aboutirez rapidement à la conclusion qu’une infection par ransomware (ou par tout autre malware) affectant un nombre important des systèmes centraux liés au traitement des données personnelles constituera un cas de violation des données personnelles au regard du RGPD et entraînera ainsi l’obligation de notification des intrusions prévue dans les articles 33 et 34 , explique Erka.
Les articles 33 et 34 contraignent les organisations à prévenir les autorités et les personnes dont les données personnelles auraient été subtilisées. Toutefois, cela n’est nécessaire que lorsque la violation de données constitue un risque « pour les droits et libertés des personnes physiques. »
Comment l’infection des systèmes d’une entreprise par un ransomware peut-elle affecter les individus si les données stockées les concernant ont été chiffrées (ou rendues inaccessibles) ? Répondre à cette question n’a rien d’aisé et c’est justement le type d’interrogations auxquelles les entreprises doivent être capables de répondre avec le RGPD.
« Si vous en êtes au stade où un ransomware affecte les données privées que vous avez collectées, il ne faudra pas seulement vous inquiéter de la fuite de ces données (comme c’est souvent le cas). Vous devrez aussi récupérer le contrôle de vos systèmes et données pour rétablir vos opérations. Si vous ne disposez pas de sauvegardes de qualité, les efforts que vous devrez réaliser exigeront une énergie colossale », explique Hannes Saarinen, Privacy Officer chez F-Secure. « Si vous n’êtes pas préparé et si vous avez besoin de collecter à nouveau toutes vos données, vous devrez sans doute faire état de ce cyber incident, même si les données ont été détruites, plutôt que volées. »
La capacité à réagir en cas de cyber incident sera pour les entreprises l’un des éléments-clés de leur conformité à ce nouveau règlement.
Concrètement, les plans de réponse aux cyber incidents doivent être actualisés et inclure des vérifications permettant de déterminer dans quels cas la notification de l’attaque réclamée par le RGPD devient nécessaire, explique Hannes.
Catégories