Les véritables raisons pour lesquelles la cybercriminalité n’est pas signalée, et pourquoi cela va changer…

En parler ou pas? C’est le dilemme auquel sont confrontés tous ceux qui ont été frappés par des pirates informatiques ou des fraudeurs en ligne. Nous examinons les raisons pour lesquelles tant d’entreprises choisissent de garder le silence. Et avec le RGPD à l’horizon, nous découvrons aussi pourquoi le fait de garder le silence sur la perte de “données personnelles” n’est plus une option….

Dans quelle mesure la cybercriminalité est-elle balayée sous le tapis ?

Le dernier rapport sur la criminalité sur Internet publié par le Centre interne des plaintes contre la criminalité du FBI (IC3) révèle qu’un peu moins de 300 000 cybercrimes ont été signalés au Bureau l’année dernière. Les pertes découlant de ces incidents sont estimées à 1,3 milliard de dollars.

C’est la pointe de l’iceberg. Le FBI estime que seulement un délit sur sept sur Internet est porté à l’attention des forces de l’ordre. De même, le ministère américain de la Justice estime que seulement 15 % des crimes sur Internet sont signalés. Les chiffres du Royaume-Uni brossent un tableau similaire: les chiffres de la Crime Survey of England and Wales indiquent qu’il y a eu 3,6 millions de cas de fraude l’année dernière, bien que seuls 622 000 cas aient été portés à la connaissance de la police.

Une combinaison d’embarras et de scepticisme quant aux chances de retrouver le coupable explique pourquoi les individus ont tendance à ne pas signaler la cybercriminalité. Pour les entreprises, il y a aussi de grandes considérations commerciales en jeu ?

Ransomware: payez et taisez-vous?

Comme on pouvait s’ y attendre, l’avis officiel pour les entreprises frappées par des attaques de rançon et d’autres formes d’extorsion cybernétique est de signaler l’incident plutôt que de payer.

Mais de retour dans le monde réel, la remise de l’argent semble souvent être le moyen le plus rapide et le plus facile de faire disparaître le problème. Après tout, avec seulement 20 % des demandes dont on pense qu’elles dépassent la barre des 1 000 livres sterling, il est rare qu’il s’agisse de “casser la tirelire”.

Lorsque Trend Micro a examiné la situation l’an dernier, ils ont constaté que les bonnes intentions ont tendance à disparaître lorsque les entreprises sont touchées. Les trois quarts des entreprises qui n’avaient jamais été prises dans une attaque de rançon quelque peu idéaliste ont déclaré qu’elles ne paieraient jamais. Pourtant, les deux tiers des entreprises durement touchées ont en fait choisi de payer.

S’il y a un gros problème avec cela, c’est que le paiement silencieux de la rançon n’est pas une garantie de récupérer vos données. Il s’avère que, dans environ 20 % des cas où les entreprises payaient les criminels, la clé de cryptage qu’elles espéraient ne s’est pas matérialisée.

Ne le dites pas au patron…

Vous avez cliqué sur quelque chose que vous n’auriez pas dû. Vous avez été dupée pour avoir donné les mauvaises données aux mauvaises personnes. Ou peut-être que c’est vous qui êtes responsable de la configuration de l’antivirus et du pare-feu ou de la gestion des correctifs, et que vous avez laissé passer les choses…

Le plus souvent, lorsqu’il s’agit d’expliquer comment une violation de données s’est produite, il y a un élément d’erreur humaine dans le processus. Donc, si vous savez que les données ont été compromises à cause d’une lacune de votre part, êtes-vous prêt à assumer vos responsabilités ou bien essayez-vous seul de solutionner le problème ou encore est-ce que vous préférez l’ignorer et attendre qu’il disparaisse ?

La voie de l’auto-préservation est difficile à suivre – même (ou peut-être plus encore) dans les secteurs hautement réglementés où les données sont très sensibles. Par exemple, une enquête sur la gestion des dossiers du Ministère menée auprès de grands initiés en TIC dans le secteur pharmaceutique suggère que près d’un quart des pharmaciens omettent de signaler les violations de données à des échelons supérieurs de la chaîne de gestion. Ce qui se passe dans la boutique y reste très souvent.

Ce n’était pas si important de toute façon…

En 2014, les bookmakers irlandais Paddy Power ont intenté une action en justice pour récupérer des données auprès d’une personne non nommée au Canada. Il s’est avéré qu’en 2010, les données relatives à près de 650 000 clients avaient été volées….

Paddy Power n’avait pas signalé la brèche au moment où elle s’était produite et n’avait pas non plus avisé ses clients. La raison en était que même si les noms, adresses, adresses électroniques et numéros de téléphone avaient été volés, les mots de passe des comptes et les données financières n’avaient pas été compromis. En l’absence de “preuve que les comptes clients ont été affectés négativement par cette violation”, la société est restée silencieuse.

Bien que l’organisme irlandais de réglementation des données ait “averti” le bookmaker pour sa décision de ne pas le signaler, l’avertissement était tout ce qu’il pouvait faire. En vertu de la directive sur la protection des données, l’entreprise n’ a enfreint aucune loi.

Qu’est-ce qui a changé?

Selon l’ancienne loi sur la protection des données et selon les termes du régulateur britannique, “bien qu’il n’ y ait aucune obligation légale pour les responsables du traitement des données de signaler les violations de la sécurité, nous pensons que les violations graves devraient être signalées à l’OIC”. En d’autres termes, le signalement des infractions était en grande partie facultatif.

En raison de son entrée en vigueur en mai 2018 dans toute l’UE et l’EEE, le règlement général relatif à la protection des données marque un grand changement. Pour la première fois, toutes les organisations qui ont des clients dans l’UE sont confrontées à une obligation obligatoire de signaler les atteintes à la sécurité qui entraînent la perte ou la compromission de données à caractère personnel.

Et maintenant que le montant maximal des amendes que les régulateurs peuvent imposer est fixé à 20 millions d’euros, soit 4 % du chiffre d’affaires mondial annuel, le silence sur les infractions (du moins lorsque les données à caractère personnel sont concernées) ne sera plus une option.

source : stationxNathan House

Traduit avec www.DeepL.com/Translator

Menu