Accueil Enquête Violation de données : 1/3 des DSI prêts à payer les hackers...

Violation de données : 1/3 des DSI prêts à payer les hackers plutôt qu’une amende RGPD

Un tiers des directeurs informatiques français seraient prêts à payer une rançon pour éviter les amendes liées au RGPD. Une stratégie du “pas vu, pas pris”.

Un tiers (33 %) des directeurs informatiques français seraient « vraiment » prêts à payer les rançons demandées par des cybercriminels qui auraient volé leurs données professionnelles, plutôt que de signaler la violation aux autorités et de devoir payer une amende. Le pourcentage augmente si la rançon demandée est inférieure à l’amende prévue en cas d’infraction suite à une violation, 43 % envisageant cette éventualité. Des chiffres élevés, dévoilés par une étude de Sophos, éditeur spécialiste en cybersécurité.

Une tendance européenne

Les responsables français ne détiennent pourtant pas la palme de cette stratégie d’évitement. 47 %, soit presque la moitié, de leurs homologues britanniques sont « vraiment » disposées à payer, ainsi que 38 % des néerlandais. Les Irlandais et les Belges sont, de leur côté, moins enclins à ce système D, avec des pourcentages respectifs de 19 % et 24 %. Mais les pourcentages évoluent en fonction de la taille de l’entreprise. Plus les sociétés sont petites, moins on envisage ce paiement – 51% des directeurs informatiques des entreprises de moins de 250 employés ont complètement exclu de payer leurs agresseurs.

Quelles raisons ?

Les causes sont à chercher dans une question d’argent – rappelons que suite à l’entrée en vigueur du RGPD, les amendes infligées aux entreprises peuvent aller jusqu’à 20 millions d’euros, ou atteindre 4% de leur chiffre d’affaires global annuel si le montant est supérieur – et dans les répercussions sur la réputation d’une entreprise. On pourrait aussi ajouter celle-ci : presque 4 directeurs informatiques français sur 10 seulement sont confiants dans une conformité totale de leur entreprise avec les règles du RGPD. Et seuls 24% d’entre eux ont mis en place des outils permettant de prouver leur conformité en cas de violation. Les Belges, les Irlandais, les Néerlandais et les Anglais ne sont pas plus majoritairement confiants (respectivement 30, 35%, 44% et 46%). La peur de se faire prendre en défaut…

“Pas vu, pas pris”?

Faire confiance aux pirates ou attendre qu’ils restituent sagement les données est une grave erreur, prévient Michel Lanaspèze, directeur marketing pour l’Europe de l’Ouest de Sophos. Les entreprises qui paient une rançon peuvent peut-être bien récupérer l’accès à leurs données, mais c’est loin d’être une garantie à 100 % et c’est surtout une fausse économie si elles le font pour éviter une sanction. Elles doivent quand même, et toujours, signaler la violation aux autorités et risquent une amende beaucoup plus lourde si elles ne le font pas rapidement“.