Si quelqu'un voulait rappeler la menace imminente du GDPR et ses conséquences pour les entreprises, l'amende de 400 000 £ infligée à Carphone Warehouse, plus tôt cette semaine, aurait été un peu un réveil téléphonique..

Bien que l'amende ne fasse pas partie d'un arrangement GDPR - qui n'entrera en vigueur qu'en mai - sa taille était un peu révélatrice.. “C'est la taille de l'amende, c'était un peu inattendu,” a déclaré Lewis Henderson de la société de sécurité Glasswall, soulignant que les trois millions de comptes clients dépassaient largement les 157 000 enregistrements de clients dans la violation Talk Talk: un incident qui a également valu la somme de 400 000 £ “Vous vous demandez ce qu'une entreprise doit faire pour être frappée au maximum,” Henderson rêvait.

L'ampleur de l'amende est importante car en mai, le montant désormais vertigineux pourrait bien être minimisé par les pénalités infligées pour infraction au GDPR. Ainsi, comme le fait remarquer Henderson, le montant de 400 000 £ est inférieur au maximum, mais il est suffisamment important pour servir de coup de semonce.

Les opérateurs de téléphonie mobile et de téléphonie mobile, en raison de leur large clientèle, seront des cibles tentantes pour les cybercriminels et, étant donné l'ampleur de leurs chiffres d'affaires, ils constitueront également une cible attrayante pour les commissaires à l'information cherchant à donner l'exemple d'une pratique de protection des données de mauvaise qualité..

Il est juste de dire qu'il n'y aura pas de lourdes amendes infligées au cours des premières semaines de fonctionnement du GDPR, mais il est presque inévitable que dans un an, une entreprise soit frappée. Il semble que l’industrie soit persuadée que le montant des amendes (à 4% du chiffre d’affaires mondial) fait l’objet de beaucoup de discussions. Mais compte tenu de la pratique bâclée à laquelle un trop grand nombre d’entreprises se livrent, on peut s’attendre à voir au moins une entreprise malchanceuse se voir infliger une lourde pénalité., pour encourager les autres.

Henderson a déclaré que le monde avait évolué depuis que le GDPR s'était rapproché. “J'ai fait un calcul rapide et estimé que si l'ICO avait condamné Carphone Warehouse à une amende maximum, conformément aux directives du GDPR, il se serait vu infliger une amende de 190 M £..”

Et c’est la prise de conscience du fait que les amendes pourraient être très élevées, ce qui concentrera les esprits des opérateurs et garantira la plus grande robustesse possible de leurs systèmes. Cependant, comme l'a dit Henderson, trois ans après la violation de données Talk Talk, les entreprises sont toujours touchées - rien qu'en novembre, trois ont été victimes d'une violation de données..

Mais la nature de l'attaque a changé, a déclaré Henderson. “Il y a trois ans, des assaillants frappaient à la porte de sites Web. Je dirais que ces jours-ci, 60% des attaques utilisent des pièces jointes. Ce sont les menaces les plus importantes..”

Le fait que des criminels continuent de menacer les archives des clients - quelles que soient les méthodes d'attaque, est assez effrayant - mais l'un des plus importants contrepoids à ce problème était la réputation ternie, mais cela ne semble plus être le cas aujourd'hui..”

“Les gens sont désensibilisés,” dit Henderson. “Lorsque Talk Talk a été touché en 2015, le cours de l'action a tellement chuté qu'il a fallu des mois pour redresser la situation..” Cela contraste avec ce qui s'est passé cette semaine, a-t-il déclaré, soulignant que lorsque Carphone Warehouse avait été frappée par l'amende, le cours de l'action avait brièvement baissé… de un point de pourcentage. Et étant donné que la nouvelle de l'amende a été annoncée le jour même où le directeur financier du groupe est parti, la pénalité n'a peut-être pas été la seule raison de cette chute du prix de l'action.

Il semble y avoir une acceptation maintenant que les enregistrements des clients vont être piratés et, bien que gênant, ce n'est pas grave. Il y a dix ans, cela pourrait peut-être porter gravement atteinte à la réputation d'une entreprise: de telles nouvelles n'entraînent qu'une ondulation du cours de l'action..

C’est précisément ce genre de conviction que le GDPR a été conçu pour changer.

Dans quelle mesure les opérateurs sont-ils préparés à la nouvelle réalité du GDPR? Selon un sondage Clearswift de septembre dernier, les organisations ne sont pas pleinement préparées aux changements de réglementation. La recherche a montré que seulement environ un quart des entreprises européennes sont prêtes pour le GDPR et que, bien que les entreprises de technologie et de télécommunication soient mieux préparées que la plupart des entreprises, seulement 32% de ce secteur était pleinement engagé..

Non préparé

C'était bien sûr il y a quatre mois. Depuis lors, les entreprises ont rapidement pris conscience de la réalité du GDPR. L'enquête Clearswift a révélé que 44% des entreprises avaient bien avancé dans leurs plans et prévoyaient être en conformité à la date limite de mai. Un des facteurs qui a motivé ce changement est la prise de conscience du fait que malgré le Brexit, les changements sont à venir et le fait que le Royaume-Uni quitte l'UE n'aura aucun impact sur l'adoption du GDPR..

Cependant, même avec les entreprises qui élaborent un plan, environ un tiers de toutes les entreprises ne seront pas prêtes, ce qui inclura un certain nombre d'entreprises de télécommunication (l'enquête Clearswift n'a pas donné trop de détails). Même si ce n'est qu'une poignée, c'est un signe inquiétant.

Les grands garçons seront pleinement conscients des problèmes et auront passé des mois à resserrer leurs systèmes, mais tôt ou tard, il y aura une violation de données et cette fois, quelqu'un se verra infliger une grosse amende..

Il serait bien de penser que les systèmes des opérateurs sont parfaitement sécurisés, mais l'utilisation d'attaques centrées sur les pièces jointes rend plus difficile la mise en place de liens solides. Comme Henderson de Glasswall a déclaré: “C'est le cadeau qui continue à donner.”

  • Meilleures offres pour mobiles en janvier