Cette mairie varoise victime d’une cyberattaque risque une amende de 10 millions d’euros

Depuis jeudi dernier, la mairie de la Croix-Valmer est victime d’un virus qui crypte ses données. Et avec le renforcement de la loi protégeant les données personnelles, l’amende pourrait être salée.

Cela va faire une semaine que les informaticiens de la municipalité de la Croix-Valmer se battent pour barrer une attaque de “crypto-virus”- un virus qui crypte les données- devant laquelle ces derniers sont encore impuissants.

Sources : Nice Matin – Andrea Morali – 2 août 2018

Une rançon a été demandée par les malfaiteurs, mais la mairie refuse: “Plus vous payez, plus ils continuent à créer des logiciels pour vous soutirer de l’argent”. 

Cependant, la douloureuse pourrait ne jamais avoir aussi bien porté son nom…

2% du chiffre d’affaire ou 10 millions d’amende

Depuis le 25 mai 2018, et la rentrée en vigueur du RGPD- Règlement européen général sur la protection des données- les montants des sanctions sont devenus faramineux.

Et si la municipalité varoise a laissé fuiter les données personnelles de ses habitants et qu’un dysfonctionnement technique ou stratégique est détecté, les sanctions peuvent être élevées.

L’amende de la CNIL (Commission nationale de l’informatique et des libertés, NDLR) pour un défaut de sécurité concernant les données personnelles peut désormais atteindre un montant de 2% du chiffre d’affaires mondial pour une entreprise ou 10 millions d’euros maximum” nous explique Frédéric Lionetti expert cybersécurité, au cabinet Aerial.

Pour exemple, la CNIL a ainsi dressé une amende de 250.000 euros à Optical Center en juin dernier, qui avait laissé fuiter les données personnelles de ses clients.

Selon Frédéric Lionetti, ces mesures visaient surtout à limiter les “délires” des GAFA (les géants du web: Google, Apple, Facebook, Amazon) qui prenaient beaucoup de libertés avec les données de leurs utilisateurs.

“Ils s’y sont pris à la bourre”

“En vue des piratages géants des plus grandes entreprises, comme Sony en 2014, on se dit que personne n’est à l’abris aujourd’hui” tempère dans un premier temps Frédéric Lionetti. Mais vu le temps de réaction de cette mairie, on peut d’ores et déjà considérer qu’ils s’y sont pris à la bourre”. 

“Ils ne devaient pas avoir de bons dispositifs d’alerte. Quand on subit une attaque telle que la leur, on peut isoler la partie attaquée et faire des sauvegardes. Si on fait ça on peut nettoyer et restaurer. Là, ils ont pris trop de retard” poursuit Frédéric Lionetti.

Faut-il alors payer la rançon demandée? “J’ai envie de dire non, assure l’expert. On peut payer rapidement au début pour que l’affaire ne devienne pas publique mais maintenant que c’est le cas…

Ils peuvent désormais essayer de reprendre la main, mais ça parait compliqué aujourd’hui. Ils peuvent payer et demander la clé de chiffrement pour reprendre le contrôle.”

L’apparition d’affaires similaires pourraient se multiplier. En effet, avant la RGPD, personne n’était obligé de déclarer les attaques informatiques. Aujourd’hui, la CNIL oblige de communiquer toutes les fuites de données personnelles, comme c’est le cas depuis plusieurs années aux Etats-Unis.