Comment faire la une des journaux grâce au RGPD et une violation de données ?

Consulter au format PDF

L’histoire de Robert

L’attrait de la lumière

Robert Peppone est un homme d’action et de terrain. Il a créé sa propre entreprise : « Peppone, Defense & Security Solutions ». Il joue d’abord de son ancrage local, avant de se développer au niveau national puis européen. Il est un des leaders de la sécurité. Son entreprise est prospère mais Robert voudrait plus : c’est la une de la revue Patrons Disruptifs qui l’intéresse.

Robert regarde le journal télévisé et lit la presse écrite. Il suit dans l’actualité les violations de données d’organismes, toujours plus nombreuses et massives. Quelle mise en avant ! Robert se remémore les séminaires sur la communication d’entreprise auxquels il a assisté. N’a-t-il pas retenu qu’il n’y avait jamais de mauvaise communication, que tout était bon à prendre ?

Ainsi convaincu que « louange ou blâme, c'est toujours de la réclame », une idée germe alors dans sa tête : faire ce qu’il faut pour que lui aussi subisse une violation de données personnelles !

Planification et phases d’action

Robert doit être vif, précis et rapide. Il comprend que les violations peuvent survenir d’une faiblesse organisationnelle ou d’une vulnérabilité technique. Pour mettre toutes les chances de son côté, il fera les deux ! Telle est la voie.

Phase 1 : s’attaquer à l’organisation en divisant le personnel et en le plongeant dans le brouillard.

• Il paraît que sa direction des systèmes d’information (DSI), son responsable de la sécurité des systèmes d’information (RSSI) et son délégué à la protection des données (DPO) échangent de façon régulière, voire même toutes les semaines. Ce sera désormais interdit, chacun travaillera sur son sujet, dans son coin, sans se préoccuper des attributions des autres. Et fini la pétanque en after work !
   
• Les procédures existent, mais ne dit-on pas qu’elles sont faites pour être transgressées ? Fini la chaîne hiérarchique, chacun fera comme il le souhaite, et fini les validations : il suffit d’un peu de bon sens après tout.
   
• Robert décide ensuite de renégocier ses contrats avec ses sous-traitants (ST). Il limite les coûts et, en même temps, ça raccourcit les documents, même s’il ne lit pas tout – il le confesse volontiers. Robert va aussi se séparer d’autres de ses ST, en particuliers ceux de son centre d’opérations de sécurité de l’information (SOC) et de son centre d'alerte et de réaction aux attaques (CERT). Cela réduira en plus les coûts et évitera les appels téléphoniques la nuit ou le week-end.

Phase 2 : fragiliser l’infrastructure technique.

Robert a bien compris que pour avoir une violation, il faut tailler dans le vif !

Il identifie tout d’abord la problématique des accès au système d’information, que ce soit ceux des utilisateurs ou des administrateurs.

• Tout sera au même niveau d’exigence à partir de maintenant, un identifiant simple et le mot de passe « 123 » permettront d’accéder à l’ensemble des ressources.
   
• Fini la mise en place d’un compte par utilisateur, désormais plusieurs utilisateurs utiliseront le même compte. Il est fier de sa trouvaille : « c’est comme le covoiturage, partager, c’est réduire les coûts et l’impact sur l’environnement ».
   
• Les accès aux applications seront possibles, sans restriction, depuis toute connexion internet. Fini les « VPN », « MFA » et autres gadgets compliqués et inutiles.
   
• Toutes les connexions seront en http, gérer des certificats c’est ennuyeux.
   
• Enfin, les droits d’accès sont élargis, afin que chacun puisse reprendre l’activité des collègues absents. Les droits d’accès administrateur sont distribués le plus largement possible, Robert sait qu’on ne peut apprendre que par la pratique.

Phase 3 : supprimer toute visibilité et capacité de réaction.

Robert règle le problème de la journalisation de manière drastique : plus rien n’est journalisé et l’analyse en temps des réels n’est plus exploitée. Après tout, les meilleurs journaux sont ceux qu’on trouve en kiosque.

Grisé par l’euphorie, Robert se dit qu’il doit finir en apothéose. C’est décidé, son chef d’œuvre sera la suppression de toutes les instances d’antivirus et autres outils d’analyses automatiques afin d’être sûr que, s’il se passe quelque chose, les attaquants ne soient pas ennuyés.

Et maintenant, il ne reste qu’à patienter, Robert le sait, c’était dans son horoscope de ce matin, « les choses arrivent, non pas lorsqu’on cesse d’attendre, mais quand on est prêt à les accueillir ! » et lui, il est plus que prêt !

Flash d’info spécial

« La CNIL l’annonçait dès le 28 janvier dans son article Violations massives de données en 2024 : quels sont les principaux enseignements et mesures à prendre ?, les incidents d’ampleur exceptionnelle se multiplient et les données de millions de Français se retrouvent, aujourd’hui, entre les mains de cybercriminels de plus en plus ingénieux dans leurs tentatives de fraudes. En ce 1er avril, c’est au tour de Peppone DSS de s’ajouter à la longue liste des victimes de ce fléau qui n’a plus de frontières… »

L’information est apparue d’abord sur le dark web, a été reprise sur les réseaux sociaux et atteint finalement les grands médias de l‘information.

Robert sait qu’il devrait notifier à la CNIL la violation de données personnelles que constitue l’incident au sens du RGPD sous 72 heures. Toutefois il a le succès modeste : il préfère attendre que la CNIL vienne à lui.

Une partie des données est publiée par les attaquants afin d’attirer les acheteurs : des données internes et des données de clients, sensibles, sont étalées. Robert a la chance d’avoir de grands groupes et même l’administration comme clients ! L’information est reprise et circule, la presse spécialisée reprend tout, les réseaux sociaux ne se lassent pas de l’affaire.

Robert savoure.

La CNIL publie sur son site : « Peppone DSS : la CNIL enquête sur la fuite de données et donne des conseils pour se protéger ».

L’objectif est atteint. Robert fait la une et va même avoir la primeur d’échanger en direct avec les enquêteurs de la CNIL et, à l’issue de la procédure de sanction qui va vraisemblablement suivre, avec les membres de la formation restreinte, organe en charge de prendre les sanctions. Après tous ses efforts, c’est une consécration !

Comment augmenter le risque de subir une violation de données ?

 Lisez le guide de la sécurité des données personnelles, appliquez tous les « ce qu’il ne faut pas faire » et assurez vous qu’aucun élément de la checklist n’est coché.

 En tant que responsable de traitement, supprimez le plus de mesures de sécurité possible et allégez au maximum celles ne pouvant être supprimées. Ne faites surtout pas d’audits réguliers après cela, que ce soit chez vous ou chez vos sous-traitants.

 Permettez et encouragez le partage de comptes ou de mots de passe au sein d’une équipe : cela est nécessaire en cas d’attaque afin d’être incapable de retracer le déroulé et d’ignorer d’où la compromission est partie.

 Imposez en revanche des mots de passe courts, faciles à deviner si on les oublie car il y a déjà assez de choses à se rappeler par ailleurs : « MDP » est tout à fait adéquat comme mot de passe pour l’administrateur du domaine.

 Ne mettez pas en place une journalisation fine des accès et actions sur toutes les applications. Cela prend de la place !

 Si jamais vous avez tout de même des journaux, ne les regardez pas et supprimez-les au plus vite. Il y a des choses plus intéressantes à lire, comme votre horoscope.

 N’installez pas d’antivirus et autres « DR » (EDR, XDR, MDR…) sur vos systèmes, cela les ralentit. Installez en revanche des outils provenant des sources non vérifiées et, si possible, avec des cracks douteux.

 Permettez un accès aux outils depuis Internet, c’est pratique. Mais attention, n’imposez pas l’utilisation d’un VPN et d’une authentification (multi facteur ??? Pourquoi faire, je n’ouvre pas le courrier). Faire cela depuis la terrasse du café, avec l’ordinateur familial connecté en Wi-Fi ouvert, c’est la liberté, ça rappelle les vacances !

 Ne chiffrez pas vos échanges. La donnée doit voyager librement sur la toile et à travers tous les réseaux, après tout, le bonheur est dans le partage.

 Ne mettez pas de procédures en place, l’improvisation doit être reine ! S’adapter aux imprévus est un bon test pour vos équipes.