Avertissement : « l'extorsion du RGPD » pourrait nuire à votre entreprise, voici ce qu'il faut faire !
Publié: 2019-01-12La plupart des chefs d'entreprise basés aux États-Unis connaissent au moins quelque peu le RGPD (Règlement général sur la protection des données de l'UE). Bien que ce vaste ensemble de réglementations sur les données soit conçu pour protéger la vie privée des citoyens de l'Union européenne, il affectera également de manière significative les entreprises américaines . Cela conduira également probablement à une nouvelle cybercriminalité coûteuse : « l'extorsion du RGPD ».
Comment les réglementations européennes sur les données affecteront-elles les entreprises aux États-Unis ? Qu'est-ce que l'extorsion GDPR? Comment les entreprises peuvent-elles se protéger ? Telles sont les questions que je vais aborder dans cet article.
Le RGPD en quelques mots
En tant qu'ensemble de réglementations sur la sécurité des données le plus complet de l'histoire (99 articles organisés en 11 chapitres, pour être exact), le RGPD soulève des sourcils et des inquiétudes dans le monde entier.
En effet, la capture des données client aide les entreprises de tous les secteurs à améliorer le marketing, les ventes, le service client et de nombreux autres efforts. Désormais, grâce au RGPD, les entreprises doivent collecter des données beaucoup plus soigneusement.
Le RGPD donne aux citoyens de l'UE quelque chose qui n'existe pas aux États-Unis : le droit à la confidentialité des données personnelles. Quels types de règlements sont inclus dans cet ensemble de lois? Bien que le RGPD devienne assez complexe, voici un bref aperçu.
Le droit d'un citoyen de l'UE à la confidentialité des données l'emporte désormais sur l'intérêt des entreprises à collecter leurs données. Par conséquent, en vertu du RGPD, chaque citoyen de l'UE a :
- Le droit de choisir d'autoriser ou non la collecte de leurs données
- Le droit de voir toutes les données qui ont été collectées à leur sujet
- « Le droit à l'oubli », ce qui signifie que leurs données doivent être supprimées de la liste par Google et d'autres moteurs de recherche sur demande
- Et enfin - le droit qui a donné naissance au phénomène d'extorsion GDPR, qui est le droit d'être informé des violations de données dans les 72 heures (telles que les violations résultant de pirates informatiques)
Comment le RGPD affecte-t-il les entreprises américaines ?
Avant de plonger dans ce qu'est l'extorsion de GDPR, je dois souligner pourquoi les entreprises américaines ne sont pas claires ici.
Si votre entreprise basée aux États-Unis propose des services aux citoyens de l'UE ou collecte des données personnelles sur les citoyens de l'UE, vous devez vous conformer à la réglementation GDPR. Certaines des industries américaines les plus susceptibles de relever du RGPD incluent les voyages, l'hôtellerie, le SaaS et le commerce électronique. Cependant, toute entreprise basée aux États-Unis avec un marché dans l'UE doit se préparer pour répondre aux exigences.
Quelles sont les conséquences du non-respect des exigences du RGPD ? Les amendes pourraient atteindre 20 millions d'euros (22,7 millions de dollars), bien qu'il ne soit pas encore clair comment ces paiements de l'UE seront appliqués aux États-Unis.
Mais les conséquences du non-respect du RGPD vont bien au-delà des frais débilitants. Les entreprises ayant une large clientèle dans l'UE pourraient également perdre leur réputation sur un marché de plus de 510 millions de personnes.
Avec la menace de paiements à huit chiffres d'une part et la possibilité de sacrifier la confiance des clients de l'UE d'autre part, de nombreuses entreprises américaines n'ont d'autre choix que de rééquiper leur cadre de gestion des données pour se conformer au RGPD.
Extorsion du RGPD
Comme si les conséquences importantes associées à la non-conformité au RGPD n'étaient pas assez inquiétantes, les chefs d'entreprise de l'UE et des États-Unis ont encore une autre raison de perdre le sommeil : « l'extorsion du RGPD ».
La course folle des cadres qui se démènent pour se préparer au RGPD crée une tempête parfaite pour les cybercriminels. Si une entreprise n'est pas conforme au RGPD et si ses appareils ne sont pas corrigés et non protégés, un pirate informatique peut accéder aux données de l'entreprise et lancer un ultimatum inquiétant : soit payer au pirate informatique une somme d'argent spécifiée, soit les données seront divulguées - un scénario qui conduirait également à des amendes paralysantes.
Une entreprise piratée aura le choix à ce stade. Apaisez le(s) criminel(s) ou informez l'ICO (Information Commissioner's Office) de la violation de données, conformément aux exigences du RGPD.
Les cybercriminels savent que de nombreuses entreprises choisiront de payer les pirates plutôt que de faire face à des amendes RGPD encore plus importantes. De plus, pour tenter d'éviter le tollé général, les chefs d'entreprise paieront souvent un cybercriminel et tenteront de garder les citoyens de l'UE dans l'ignorance de la violation de données.
Résistez aux cybercriminels
Malgré la tentation de payer un pirate informatique, une entreprise victime d'un cybercrime devrait tenir bon plutôt que de négocier avec des criminels. Le meilleur plan d'action est d'informer l'ICO de la violation et de travailler avec eux pour atténuer les dommages. Pourquoi? Il y a au moins quatre raisons.
- Il n'y a aucune garantie que les pirates informatiques respecteront leur part du contrat et donneront à l'entreprise victime le contrôle de leurs données.
- Payer les pirates les encourage à revenir et à extorquer à nouveau la même entreprise.
- Céder aux cybercriminels les encourage à continuer à développer des technologies avancées pour faire chanter encore plus d'entreprises à travers le monde.
- Il y a une raison éthique de résister aux cybercriminels. Les gens méritent de savoir quand leurs données personnelles ont été consultées illégalement.
Patchez l'ensemble de votre environnement informatique
La meilleure protection contre l'extorsion GDPR est d'empêcher les pirates d'entrer dans votre système. Les cybercriminels sont toujours à la recherche d'entreprises avec des appareils non corrigés et vulnérables, et pour cause. Même des entreprises aussi grandes qu'Equifax ont été violées à cause de serveurs non corrigés.
Le correctif consiste à réparer les faiblesses du système qui ont été découvertes après la sortie du matériel et des logiciels. Cela semble assez simple, mais le processus est intimidant et complexe.
Pensez à tous les composants qui doivent être corrigés. Serveurs et routeurs, systèmes d'exploitation, applications, clients de messagerie, ordinateurs de bureau et portables, appareils mobiles, pare-feu, suites bureautiques et plus encore. Et comme tout professionnel de l'informatique en conviendra, les seuls serveurs d'une entreprise peuvent se transformer en un casse-tête pour les correctifs.