« Le règlement RGPD une illusion de maîtrise ou un réel changement ? Un tigre de papier. Les organisations ne seront pénalisées que si elles n’informent pas l’autorité concernée dans les délais imposés de l‘existence d’une attaque ou d’une fuite de données. Or une entreprise peut mettre beaucoup de temps à découvrir un incident de sécurité comme nous le décrivons chaque année dans notre rapport MTrend. 

Néanmoins, l'entreprise respecte la réglementation si elle signale simplement l’incident dans les délais légaux après sa détection. Dans l’intervalle, un grand nombre de données peut avoir été volées, sans parler d’autres dommages. Il est également difficile de vérifier quand un incident a effectivement été découvert et si l’entreprise concernée ne l’a pas simplement dissimulé pendant un certain laps de temps. Dans ce cas de figure, elle ne sera soumise à aucune pénalité même si elle n’a pas pris les mesures de protection nécessaires.

Même si le RGPD est une première avancée positive, elle ne peut et ne doit pas être la seule. Car elle ne va pas assez loin. Le législateur devra promulguer d’autres lois sanctionnant également des précautions de sécurité inadéquates. Punir uniquement le défaut de signalement d’une attaque est comparable au fait de punir un braqueur de banque non pas pour le vol lui-même, mais pour un excès de vitesse durant sa fuite.

De plus, le RGPD offre aux cybers criminels de nouveaux vecteurs d’attaque qui peuvent profiter des incertitudes et interrogations de beaucoup d’employés dans les entreprises, spécialement durant les dernières phases de mise en œuvre de la réglementation. Des campagnes d’hameçonnage ciblées ayant pour thème la conformité au RGPD ont déjà été observées, et leur nombre continuera d’augmenter dans les prochains mois.

En outre, il sera intéressant de voir comment l’Union Européenne va gérer les initiatives de certains états membres visant à affaiblir le règlement au niveau national avec des clauses de souplesse conçues spécialement pour cela. Le premier exemple de ce comportement est fourni par l’Autriche. Dans ce pays, la législation nationale affaiblit le règlement européen à un point tel que même dans le cas d’une violation manifeste du RGPD, beaucoup d’entreprises ne risquent que très peu de pénalités, voire pas du tout.

Après tout, à quoi sert une réglementation au niveau européen si elle peut être vidée de sa substance au niveau national sans conséquence pour le pays concerné ? Il n’est pas dans l’intérêt de l’Europe de voir se former des enclaves où des cybers criminels peuvent agir en toute impunité, en contrevenant légalement à des directives européennes.

Mettre en place des règles de transparence et de sécurisation des données personnelles est une obligation dans le monde connecté d’aujourd’hui, mais l’homogénéité des mesures à travers l’Europe à minima est elle aussi un enjeu important. Il est donc crucial de mettre en place des capacités de détections, d’investigations sur les réseaux informatiques permettant, de réduire le temps de résidence des attaquant, d’accélérer la notification aux autorités et de définir les périmètres impactés et les conséquences ; c’est ce que nous prônons depuis des années au sein de FireEye. »

David Grout Directeur Avant-Vente Europe du Sud de FireEye

David Grout a en charge les équipes avant-ventes sur la zone Europe du sud regroupant la France, l’Italie, l’Espagne, le Portugal et Israël et développe les relations gouvernementales notamment en France. Ses priorités en 2016 sont, entre autres, d’évangéliser et éduquer le marché sur les notions d’analyse de risques Cyber, de chasse aux APTs et aider les clients et partenaires à être prêts.

Agé de 38 ans, David est titulaire d’un master en Informatique e-business et de plusieurs certifications techniques. Après quelques années en tant que Responsable du Support Technique chez AUGEO SOFTWARE, David a rejoint McAfee de 2003 à 2015 où il a successivement occupé différents postes de responsable support grands comptes.

A propos de FireEye :

FireEye propose les meilleures solutions du marché pour neutraliser les cyberattaques avancées qui combinent des logiciels malveillants sophistiqués, des exploits « zero-day » et les tactiques des menaces persistantes avancées. Les solutions FireEye complètent les pare-feux traditionnels et de nouvelle génération, les systèmes IPS, les antivirus et les passerelles, des outils qui à eux seuls sont incapables de repousser les menaces évoluées, laissant ainsi des brèches de sécurité dans les réseaux.

FireEye propose en outre la seule solution en mesure de détecter et de bloquer les attaques exploitant le Web et la messagerie électronique comme vecteurs ainsi que les logiciels malveillants latents résidant sur les partages de fichiers. Cette solution couvre toutes les phases du cycle de vie des attaques au moyen d'un moteur sans signatures qui utilise l'analyse dynamique pour détecter les menaces « zero-day ». Établi à Milpitas, en Californie, FireEye est soutenu par des partenaires financiers de premier plan, dont Sequoia Capital, Norwest Venture Partners et Juniper Networks.

Pour en savoir plus : FireEye

[Note de la Rédaction : le RGPD = Règlement Général sur la Protection des Données (ou GDPR en anglais). La mise en conformité pour le RGPD entre en vigueur le 25 mai 2018.]