Un groupe de hackers a récemment ébranlé le monde de la cybersécurité en déposant une plainte auprès de l'Autorité des Marchés Financiers américaine. Leur cible, une société fournissant des solutions numériques aux banques et institutions financières.
La singularité de cette attaque réside dans la démarche des hackers, qui ont décidé d'utiliser le système légal américain à leur avantage. Pour forcer la société-cible à verser une rançon, ils ont alerté l'Autorité des Marchés Financiers sur l’absence de notification par celle-ci de l’intrusion dans ses systèmes, obligation légale à laquelle elle était tenue.
Cette tactique, bien que nouvelle, suscite des préoccupations quant à sa possible reproduction en France, notamment dans le domaine des données personnelles. Malgré le principe juridique français selon lequel « nul ne peut se prévaloir de sa propre turpitude », cette affaire démontre que de tels principes peuvent être contournés dans le monde complexe de la cybercriminalité.
En France, le Règlement Général sur la Protection des Données (RGPD) impose des obligations claires en cas de violation de données personnelles. Si un risque pour les personnes concernées par les données est identifié, alors le responsable du traitement des données doit informer la CNIL de la violation. Dans le cas contraire, une documentation détaillée de l'incident est suffisante. Ainsi, si un risque existe et que le responsable du traitement néglige de notifier la violation à la CNIL, les hackers pourraient dénoncer la violation, poussant la CNIL à enquêter et à potentiellement infliger des sanctions.
Face à cette menace, il devient impératif d'adopter une approche rigoureuse en cas de violation de données personnelles, en consignant tous les incidents dans un registre dédié. Si la décision est prise de ne pas informer la CNIL, une justification rigoureuse doit être inscrite dans le registre.
Cette tactique pourrait également être employée sur des « opérateurs d'importance vitale » (OVI) dont les obligations de signalement en cas d’incident (ANSSI, autorités de régulation financière) sont renforcées. La transparence devient un élément crucial dans la protection des données, alors que les hackers exploitent des voies légales en tant que moyens de pression sur leurs victimes.
