Le ransomware WannaCry met en lumière de sérieuses failles de sécurité avant l’arrivée de la GDPR

Après avoir défrayé la chronique,  WannaCry a finalement pu être contenu par les  entreprises touchées du monde entier.  Mais pour autant, pas question de le laisser tomber aux oubliettes ! On peut en effet tirer de nombreuses leçons de cette cyber attaque sans précédent : pourquoi a-t-elle été aussi performante ? Quelles solutions et tactiques va-t’il falloir mettre en œuvre pour éviter qu’elle ne se reproduise…  

Plus malheureusement, les entreprises touchées par WannaCry devront  faire face à des sanctions punitives si cet événement se reproduisait dans un an !  En effet, le règlement européen de protection des données personnelles ou GDPR arrive à grands pas,  créant  l’urgence dans la refonte  du système de cybersécurité des entreprises.

Violation de données ou ransomware?

Tout d’abord, il n’est pas évident de lier une attaque de ransomware à la loi européenne sur la protection des données personnelles. Après tout, les données des entreprises touchées par WannaCry ont été chiffrées et non dérobées.

Mais jetons un œil plus aiguisé sur ce que dit la réglementation GDPR :

L’article 4.12 declare :

“Une violation de données à caractère personnel signifie une violation de la sécurité entrainant de manière accidentelle ou illicite la destruction, la perte, l’altération ou la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à de telles données.”

Les hackers responsables de WannaCry ont eu accès aux  données clients de manière illicite puis les ont sans doute détruites une fois chiffrées.

Dans le même genre nous avons l’article 5.1:

“Les données personnelles devront être traitées selon une sécurité appropriée via l’utilisation de mesures  techniques et organisationnelles dont la protection contre l’accès non autorisé ou le traitement illicite et contre la perte accidentelle, destruction ou dommage (‘intégrité et confidentialité’).”

En plus, l’article  32 déclare que les responsables du traitement ou les sous-traitants doivent prendre en compte les technologies les plus “éprouvées” pour  “ mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ”.

Il ajoute : “Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel de manière accidentelle ou illicite, transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données.”

WannaCry aurait pu être évité

Comment les entreprises ont-elles été frappées par WannaCry ? En omettant de patcher une faille connue sur le protocole SMB Windows (CVE-‎2017-0144), ce qui a permis aux cyber-assaillants de déposer le malware destructeur sur le système infecté  et de chiffrer les fichiers de l’entreprise avec 176 extensions, dont celles utilisées par Microsoft Office, les bases de données, les archives, les fichiers multimédia, et de nombreux langages de programmation. Bien sûr, parmi ces fichiers se trouvaient les importantes données clients réglementées par la  GDPR.

Alors qu’est-ce-que cela veut dire pour les législateurs ? Tout d’abord, que l’ensemble des entreprises touchées par WannaCry, traitant des données clients, auraient potentiellement été reconnues coupables pour avoir permis un «traitement non autorisé ou illicite» de ces données réglementées.Ces entreprises ont en effet techniquement souffert d’une violation des données personnelles -même si aucune donnée n’a été volée –  en raison de la perte de ces données ou de leur destruction lors de l’attaque du ransomware. Encore plus dramatique, une mise à jour de sécurité Microsoft était disponible plusieurs semaines avant l’attaque. On peut donc penser que les entreprises victimes n’ont pas tenu le rythme dans le déploiement de leurs correctifs et pas pris les mesures de sécurité adéquates compte tenu des risques évidents. Du virtual patching étant même disponible pour protéger les systèmes non corrigés et maitriser ainsi les problématiques de sécurité des applications.

Investir dans un système de sécurité efficace

Les entreprises touchées par cette attaque peuvent témoigner de l’impact dévastateur de WannaCry.  Mais si les faits s’étaient déroulés un an plus tard, ils auraient  tous deux faire l’objet de poursuites pour non conformité aux principes de la GDPR avec des amendes pouvant atteindre 4% de leur chiffre d’affaires annuel et jusqu’à €20m. Ils auraient également été contraints de notifier la violation de données aux autorités de contrôle compétentes dans les meilleurs délais, si possible dans les 72 heures après en avoir pris connaissance. Ce qui, en soi, aurait eu un impact beaucoup plus négatif pour leur réputation et les coûts associés à cette attaque.

Si Juin marque le début du compte à rebours GDPR,  le message à faire passer est simple : les meilleures pratiques de sécurité ont réussi à protéger les entreprises de WannaCry et les aideront encore, après le 25 mai 2018, à se prévenir contre les conséquences pécuniaires directes de la GDPR.

Leave a Reply

Your email address will not be published. Required fields are marked *