Arnaques et RGPD
Les TPE/PME sont soumises à la nouvelle loi de protection des données personnelles : le RGPD. Sans révision méticuleuse de l'organisation encadrant la collecte et le traitement des informations personnelles, les entreprises s'exposent à de lourdes sanctions en cas de fuite de données : Jusqu'à 4% du chiffre d'affaires mondial de la société en question.
Les organisations cybercriminelles y ont vu une occasion en or : S'introduire dans les serveurs des entreprises ciblées et récupérer des données sensées être protégées. La menace de rendre cette fuite publique est alors suffisante pour demander une belle rançon, qui sera toujours moins chère que les sanctions de la CNIL ! En effet, l'article 33 du RGPD stipule qu'en cas de violation des données, les entreprises doivent prévenir les autorités sous 72h, sous peine d'augmentation de la sanction.
Cette idée malicieuse a un nom : le Ransomhack. Il ne s'agit plus là de paralyser une entreprise mais d'exposer sa non-conformité au RGPD. La créativité des hackers sert la rentabilité du cybercrime puisque les rançons demandées sont plus élevées, et un seul ordinateur infecté suffit pour faire pression.
Cyberattaques ciblées
Entre petites arnaques et grands projets de lobbying, les organisations cybercriminelles peuvent prendre de nombreuses formes. Pour développer et renouveler sans cesse leur activité, les stratégies des hackers évoluent comme celles de toutes branches professionnelles : en fonction du marché.
Ces dernières années ont vu une tendance se confirmer : Le ciblage des entreprises et de leurs réseaux plus précisément. Utilisant ainsi leurs connexions, les cyberattaques pouvaient infecter des milliers d'ordinateurs avec un seul point d'entrée. Le but était d'atteindre le plus grand nombre d'utilisateurs.
Cependant le dernier rapport de Trend Micro, Le Paradoxe des Cybermenaces, met en lumière ce nouveau virage stratégique de la part des organisations cybercriminelles. Leur volonté de toucher un public large laisserait place à une vision plus tactique : cibler avec précision un seul utilisateur pour augmenter considérablement leur rentabilité.
Tester sa cybersécurité
Selon le résultat du rapport KPMG "CEO Survey" : Les enjeux des dirigeants dans le monde, paradoxalement seuls 47 % des dirigeants français pensent que leur entreprise est préparée face aux risques cyber.
Le Ransomhack peut être contré comme toutes les autres menaces : en protégeant ses installations, en éduquant son personnel quant aux bonnes pratiques numériques et en effectuant des tests d'intrusion pour être sûr de l'étanchéité de son réseau informatique.
Ces simulations peuvent également tester les réflexes des employés en envoyant de faux e-mails frauduleux ou autres types d'attaques, puisqu'une grande partie des infections virales proviennent d'erreurs humaines.
L'éducation et l'information sont donc au premier plan d'une bonne politique de cybersécurité. Pour vous aider à diffuser les bonnes pratiques à adopter, le dispositif gouvernemental Cybermalveillance.gouv a mis en place un Kit de sensibilisation sous forme de fiches thématiques à télécharger gratuitement et à distribuer autour de vous !