Le règlement RGPD une illusion de maitrise ou un réel changement ? Un tigre de papier. Les organisations ne seront pénalisées que si elles n’informent pas l’autorité concernée dans les délais imposés de l‘existence d’une attaque ou d’une fuite de données. Or une entreprise peut mettre beaucoup de temps à découvrir un incident de sécurité comme nous le décrivons chaque année dans notre rapport MTrend. Néanmoins, elle respecte la réglementation si elle signale simplement l’incident dans les délais légaux après sa détection. Dans l’intervalle, un grand nombre de données peut avoir été volées, sans parler d’autres dommages. Il est également difficile de vérifier quand un incident a effectivement été découvert et si l’entreprise concernée ne l’a pas simplement dissimulé pendant un certain laps de temps. Dans ce cas de figure, elle ne sera soumise à aucune pénalité même si elle n’a pas pris les mesures de protection nécessaires.
Même si le RGPD est une première avancée positive, elle ne peut et ne doit pas être la seule. Car elle ne va pas assez loin. Le législateur devra promulguer d’autres lois sanctionnant également des précautions de sécurité inadéquates. Punir uniquement le défaut de signalement d’une attaque est comparable au fait de punir un braqueur de banque non pas pour le vol lui-même, mais pour un excès de vitesse durant sa fuite.
De plus, le RGPD offre aux cybers criminels de nouveaux vecteurs d’attaque qui peuvent profiter des incertitudes et interrogations de beaucoup d’employés dans les entreprises, spécialement durant les dernières phases de mise en œuvre de la réglementation. Des campagnes d’hameçonnage ciblées ayant pour thème la conformité au RGPD ont déjà été observées, et leur nombre continuera d’augmenter dans les prochains mois.
En outre, il sera intéressant de voir comment l’Union Européenne va gérer les initiatives de certains états membres visant à affaiblir le règlement au niveau national avec des clauses de souplesse conçues spécialement pour cela. Le premier exemple de ce comportement est fourni par l’Autriche. Dans ce pays, la législation nationale affaiblit le règlement européen à un point tel que même dans le cas d’une violation manifeste du RGPD, beaucoup d’entreprises ne risquent que très peu de pénalités, voire pas du tout. Après tout, à quoi sert une réglementation au niveau européen si elle peut être vidée de sa substance au niveau national sans conséquence pour le pays concerné ? Il n’est pas dans l’intérêt de l’Europe de voir se former des enclaves où des cybers criminels peuvent agir en toute impunité, en contrevenant légalement à des directives européennes.
„Mettre en place des règles de transparence et de sécurisation des données personnelles est une obligation dans le monde connecté d’aujourd’hui, mais l’homogénéité des mesures à travers l’Europe à minima est elle aussi un enjeu important“ rappelle David Grout, Directeur Technique Europe Du Sud pour FireEye. „Il est crucial de mettre en place des capacités de détections, d’investigations sur les réseaux informatiques permettant, de réduire le temps de résidence des attaquant, d’accélérer la notification aux autorités et de définir les périmètres impactés et les conséquences, c’est ce que nous prônons depuis des années au sein de FireEye.“
Auteur : FireEye.
