Telle est l’étonnante révélation d’une nouvelle étude menée par Sophos auprès des directeurs informatiques français, qui par ailleurs nous révèle que ce sont les DSI des grandes entreprises qui seraient les plus enclins à cette dérive, tandis que leurs homologues des PME excluent cette éventualité.
Le RGPD, entré en vigueur depuis 6 mois, prévoit en cas de non respect de ses obligations - démonstration de la mise en conformité à la législation et obligation de signalement des violations de données - d’infliger à l’organisation une amende jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaire mondial. Cette rigueur fait peur (elle est d’ailleurs destinée à cela, à sensibiliser les entreprises par la menace de sanctions lourdes), au point que certains responsables d’entreprises se disent prêts à payer la rançon exigée par les cyberpirates qui les attaquent plutôt que de respecter le RGPD (Règlement Général sur la Protection des Données).
Seulement 4 DSI sur 10 pensent être en conformité avec le RGPD
Si cette prise de position inattendue surprend, elle prend sa source à la fois dans l’ampleur des sanctions, mais également dans le retard accumulé par les entreprises. Ainsi, parmi les directeurs informatiques français, ils sont seulement :
- 37% à se montrer confiants dans une conformité totale de leur entreprise avec les règles du RGPD ;
- 24% à déclarer avoir mis en place des outils permettant de prouver leur conformité en cas de violation.
1 DSI sur 3 prêt à payer la rançon
Plus surprenant, 33% des directeurs informatiques français se disent ‘vraiment’ prêts à payer les rançons demandées par des cybercriminels qui auraient volé leurs données professionnelles, plutôt que de signaler la violation aux autorités et de devoir payer une amende plus lourde dans le cadre du RGPD.
Les chiffres font froid dans le dos… En réaction à un vol de données par des hackers mafieux et une demande de rançon, les responsables informatiques français ont déclaré :
- 43% - qu’ils envisageraient ‘éventuellement’ de payer la rançon demandée par les hackers, si elle était inférieure à l’amende prévue en cas d’infraction suite à une violation ;
- 33% - qu’ils se disent ‘vraiment’ prêts à payer les rançons demandées ;
- 20% - seulement ont complètement exclu de payer leurs agresseurs.
Les PME ne paieront pas !
Dernier enseignement étonnant de l’étude (pas si on a pris connaissance de ce qui précède), dans toute l'Europe Occidentale, ce sont les petites entreprises qui se montrent les moins susceptibles d’envisager le paiement d’une rançon. Les directeurs informatiques qui ont complètement exclu de payer leurs agresseurs sont :
- 51% - des entreprises de moins de 250 employés ;
- 20% - des entreprises de 250 à 499 employés ;
- 13% - des entreprises de 500 à 750 employés.
Source : Étude commandée par Sophos
Image d’entête 681203088 @ iStock Photo nicescene
