Une loi pour obliger la victime de piratage à se déclarer?

Une loi pour obliger la victime de piratage à se déclarer?

Quand un hacker s’infiltre dans le réseau informatique, l’entreprise ou l’institution doit le déclarer uniquement si des données personnelles et à risques ont été compromises. F8studio – stock.adobe.com

En cas de cyberattaque, entreprises et institutions en Belgique ont généralement le droit de se taire au lieu de partager l’information et ainsi avertir d’autres victimes potentielles.

C’est un euphémisme. Les cyberattaques font plus que jamais des ravages en Belgique en 2021. En ligne de mire: les attaques qui ont paralysé les systèmes informatiques de la ville de Liège, dubarreau de Charleroi, de la clinique Saint-Luc de Bouge, du Centre Hospitalier de Wallonie picarde à Tournai…

En marge de ces incidents qui ont défrayé la chronique, combien sont passés sous les radars de l’exposition publique et de la déclaration aux autorités compétentes? En cas de blocage de leurs fichiers par un "ransomware" par exemple, certaines entreprises préfèrent payer discrètement la rançon aux hackers, sans faire de vague.

Aux USA, un projet de loi démocrate entend mettre fin à ce refus de partager l’information. S’il est adopté, le Ransom Disclosure Act forcera celui qui paie (à l’exception des particuliers) la rançon d’un "ransomware" à communiquer dans les 48 heures les détails de la transaction au département de la Sécurité intérieure.

 

Le RGPD et rien d’autre

 

Quid de l’arsenal législatif en Belgique? C’est le Règlement général sur la protection des données (RGPD) de l’Union européenne qui entre en jeu. Sur papier, les articles 33 et 34 incitent entreprises et institutions victimes "d’une violation de données à caractère personnel" à se déclarer dans les 72 heures " à l’autorité de contrôle compétente", "à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques."

Bref, ces deux articles concernent uniquement le vol de données à caractère personnel et à risques. Ils laissent le champ libre à une certaine interprétation au moment de justifier un refus de communiquer. Ils ne couvrent par exemple pas la "simple" intrusion réussie d’un hacker dans un système informatique. Or partager l’info sur la méthode utilisée ou sur la faille exploitée pourrait permettre à d’autres de colmater une brèche similaire dans leur réseau et d’éviter une attaque.

Pour le formuler autrement via une métaphore: un voleur s’introduit par effraction chez vous en exploitant un défaut de votre système d’alarme. Comme le vol est réduit de prime abord à des babioles, vous ne prévenez rien ni personne. Or prévenir les autorités et/ou le fabricant de l’alarme permettrait d’alerter dans la foulée tout qui possède le même système.

 

«Une loi pour responsabiliser les entreprises»

 

Dans ces conditions, la Belgique devrait-elle imaginer une loi plus large qui oblige entreprises et institutions victimes d’une cyberattaque à se déclarer?

Les articles 33 et 34 du RGPD "sont assez flous", confirme Xavier Bellekens, expert en cybersécurité, "Au départ, des entreprises spécialisées comme F-Secure recommandaient qu’une attaque par ransomware soit déclarée sous couvert du RGPD. Mais le flou fait que maintenant, il faut se déclarer uniquement quand des données sont compromises et si ces données présentent un risque. Or il est difficile d’identifier le risque si le groupe de hackers n’indique pas s’il a volé les données en plus de les crypter. Si on veut obliger les entreprises à signaler une attaque, il faut bien définir ce qu’est une attaque. Quelqu’un qui se trouve dans le réseau, c’est une attaque. Quelqu’un qui accède à des données, c’est une attaque. Quelqu’un qui chiffre des données, c’est une attaque."

"Bref, au moment où il y a une compromission du réseau, déclarer cette compromission devrait être une obligation", insiste le spécialiste. "Parce que ça permet de sensibiliser la population, qui souvent n’a pas conscience que telle ou telle organisation a été attaquée. Avoir une législation qui impose la déclaration de tous les types d’attaques dès qu’il y a eu compromission ferait aussi que les entreprises se responsabiliseraient beaucoup plus. Parce que personne n’a envie de dire: mon système a été attaqué, on a été compromis, quelqu’un s’est infiltré dans le réseau."

 

 

Sur le thème des cyberattaques en Belgique

 

+ La Belgique, une cible facile et mal préparée pour les hackers ?

 

Nos dernières videos