Avertissement : « l'extorsion du RGPD » pourrait nuire à votre entreprise, voici ce qu'il faut faire !

Publié: 2019-01-12

La plupart des chefs d'entreprise basés aux États-Unis connaissent au moins quelque peu le RGPD (Règlement général sur la protection des données de l'UE). Bien que ce vaste ensemble de réglementations sur les données soit conçu pour protéger la vie privée des citoyens de l'Union européenne, il affectera également de manière significative les entreprises américaines . Cela conduira également probablement à une nouvelle cybercriminalité coûteuse : « l'extorsion du RGPD ».

Comment les réglementations européennes sur les données affecteront-elles les entreprises aux États-Unis ? Qu'est-ce que l'extorsion GDPR? Comment les entreprises peuvent-elles se protéger ? Telles sont les questions que je vais aborder dans cet article.



Le RGPD en quelques mots

En tant qu'ensemble de réglementations sur la sécurité des données le plus complet de l'histoire (99 articles organisés en 11 chapitres, pour être exact), le RGPD soulève des sourcils et des inquiétudes dans le monde entier.

En effet, la capture des données client aide les entreprises de tous les secteurs à améliorer le marketing, les ventes, le service client et de nombreux autres efforts. Désormais, grâce au RGPD, les entreprises doivent collecter des données beaucoup plus soigneusement.

Le RGPD donne aux citoyens de l'UE quelque chose qui n'existe pas aux États-Unis : le droit à la confidentialité des données personnelles. Quels types de règlements sont inclus dans cet ensemble de lois? Bien que le RGPD devienne assez complexe, voici un bref aperçu.

Le droit d'un citoyen de l'UE à la confidentialité des données l'emporte désormais sur l'intérêt des entreprises à collecter leurs données. Par conséquent, en vertu du RGPD, chaque citoyen de l'UE a :

  • Le droit de choisir d'autoriser ou non la collecte de leurs données
  • Le droit de voir toutes les données qui ont été collectées à leur sujet
  • « Le droit à l'oubli », ce qui signifie que leurs données doivent être supprimées de la liste par Google et d'autres moteurs de recherche sur demande
  • Et enfin - le droit qui a donné naissance au phénomène d'extorsion GDPR, qui est le droit d'être informé des violations de données dans les 72 heures (telles que les violations résultant de pirates informatiques)

Comment le RGPD affecte-t-il les entreprises américaines ?

Avant de plonger dans ce qu'est l'extorsion de GDPR, je dois souligner pourquoi les entreprises américaines ne sont pas claires ici.

Si votre entreprise basée aux États-Unis propose des services aux citoyens de l'UE ou collecte des données personnelles sur les citoyens de l'UE, vous devez vous conformer à la réglementation GDPR. Certaines des industries américaines les plus susceptibles de relever du RGPD incluent les voyages, l'hôtellerie, le SaaS et le commerce électronique. Cependant, toute entreprise basée aux États-Unis avec un marché dans l'UE doit se préparer pour répondre aux exigences.

Quelles sont les conséquences du non-respect des exigences du RGPD ? Les amendes pourraient atteindre 20 millions d'euros (22,7 millions de dollars), bien qu'il ne soit pas encore clair comment ces paiements de l'UE seront appliqués aux États-Unis.

Mais les conséquences du non-respect du RGPD vont bien au-delà des frais débilitants. Les entreprises ayant une large clientèle dans l'UE pourraient également perdre leur réputation sur un marché de plus de 510 millions de personnes.

Avec la menace de paiements à huit chiffres d'une part et la possibilité de sacrifier la confiance des clients de l'UE d'autre part, de nombreuses entreprises américaines n'ont d'autre choix que de rééquiper leur cadre de gestion des données pour se conformer au RGPD.

Extorsion du RGPD

Comme si les conséquences importantes associées à la non-conformité au RGPD n'étaient pas assez inquiétantes, les chefs d'entreprise de l'UE et des États-Unis ont encore une autre raison de perdre le sommeil : « l'extorsion du RGPD ».

La course folle des cadres qui se démènent pour se préparer au RGPD crée une tempête parfaite pour les cybercriminels. Si une entreprise n'est pas conforme au RGPD et si ses appareils ne sont pas corrigés et non protégés, un pirate informatique peut accéder aux données de l'entreprise et lancer un ultimatum inquiétant : soit payer au pirate informatique une somme d'argent spécifiée, soit les données seront divulguées - un scénario qui conduirait également à des amendes paralysantes.

Une entreprise piratée aura le choix à ce stade. Apaisez le(s) criminel(s) ou informez l'ICO (Information Commissioner's Office) de la violation de données, conformément aux exigences du RGPD.

Les cybercriminels savent que de nombreuses entreprises choisiront de payer les pirates plutôt que de faire face à des amendes RGPD encore plus importantes. De plus, pour tenter d'éviter le tollé général, les chefs d'entreprise paieront souvent un cybercriminel et tenteront de garder les citoyens de l'UE dans l'ignorance de la violation de données.

Résistez aux cybercriminels

Malgré la tentation de payer un pirate informatique, une entreprise victime d'un cybercrime devrait tenir bon plutôt que de négocier avec des criminels. Le meilleur plan d'action est d'informer l'ICO de la violation et de travailler avec eux pour atténuer les dommages. Pourquoi? Il y a au moins quatre raisons.

  1. Il n'y a aucune garantie que les pirates informatiques respecteront leur part du contrat et donneront à l'entreprise victime le contrôle de leurs données.
  2. Payer les pirates les encourage à revenir et à extorquer à nouveau la même entreprise.
  3. Céder aux cybercriminels les encourage à continuer à développer des technologies avancées pour faire chanter encore plus d'entreprises à travers le monde.
  4. Il y a une raison éthique de résister aux cybercriminels. Les gens méritent de savoir quand leurs données personnelles ont été consultées illégalement.

Patchez l'ensemble de votre environnement informatique

La meilleure protection contre l'extorsion GDPR est d'empêcher les pirates d'entrer dans votre système. Les cybercriminels sont toujours à la recherche d'entreprises avec des appareils non corrigés et vulnérables, et pour cause. Même des entreprises aussi grandes qu'Equifax ont été violées à cause de serveurs non corrigés.

Le correctif consiste à réparer les faiblesses du système qui ont été découvertes après la sortie du matériel et des logiciels. Cela semble assez simple, mais le processus est intimidant et complexe.

Pensez à tous les composants qui doivent être corrigés. Serveurs et routeurs, systèmes d'exploitation, applications, clients de messagerie, ordinateurs de bureau et portables, appareils mobiles, pare-feu, suites bureautiques et plus encore. Et comme tout professionnel de l'informatique en conviendra, les seuls serveurs d'une entreprise peuvent se transformer en un casse-tête pour les correctifs.


Par exemple, il est courant pour une entreprise d'exécuter deux ou plusieurs systèmes d'exploitation de serveur, tels que Linux et Windows. De plus, de nombreuses entreprises exécutent plusieurs versions de ces systèmes d'exploitation, y compris de nombreuses distributions Linux.

En raison de la complexité impliquée, et avec autant de composants qui pourraient devenir des fenêtres ouvertes pour les cybercriminels, les entreprises intelligentes mettent en œuvre un processus de gestion des correctifs pour suivre tout cela automatiquement. Cloud Management Suite, par exemple, permet aux responsables informatiques de corriger en permanence tous les appareils et progiciels utilisés par leur entreprise, quels que soient leurs systèmes d'exploitation.

Éduquez vos employés

Étant donné que de nombreux pirates informatiques ont accès à de vastes quantités de données personnelles sur les clients simplement en déjouant les employés, il est crucial d'éduquer votre personnel sur les méthodes cybercriminelles. Une « ingénierie sociale » obligatoire devrait être organisée pour les salariés et les cadres. Voici quelques sujets importants sur lesquels mettre en garde les employés :

  • Ingénierie sociale classique, comme lorsqu'une personne appelle un employé prétendant être informaticien et lui demande des mots de passe ou d'autres informations sensibles
  • Opportunité d'ingénierie sociale, par exemple lorsqu'un cybercriminel laisse tomber une clé USB chargée de logiciels malveillants dans un parking et attend qu'un employé la trouve et l'utilise
  • Hameçonnage d'e-mails , impliquant des e-mails qui semblent légitimes mais contiennent en réalité des liens frauduleux ou des logiciels malveillants

Il est également utile d'éduquer les employés sur le RGPD et l'extorsion du RGPD. Devenir conforme au RGPD (discuté ci-après) peut être un processus laborieux, donc plus votre personnel connaît son importance, mieux c'est.

Devenir conforme au RGPD

En plus de refuser aux pirates l'accès aux données sensibles d'une entreprise, toute entreprise avec un marché de l'UE devrait se conformer au RGPD. Bien que le processus demande beaucoup de travail, cela en vaut la peine.

Les entreprises qui consacrent du temps et des efforts pour répondre aux exigences du RGPD prouvent à la Commission européenne et à d'autres organismes faisant autorité qu'elles se soucient du droit à la vie privée des citoyens de l'UE. De tels efforts sont susceptibles de minimiser les frais imposés ou d'autres conséquences d'une violation de données.

Les entreprises honnêtes qui travaillent à la conformité trouvent plus facile de conquérir leur marché. Que ce soit aux États-Unis ou dans l'UE, les consommateurs apprécient l'honnêteté.

Les entreprises qui font tout ce qui est en leur pouvoir pour se conformer aux réglementations mondiales et opèrent de manière transparente acquièrent rapidement un avantage concurrentiel.

Image : Shutterstock