C'est arrivé il y a peu de temps dans trois départements d'Occitanie. "Plusieurs cabinets médicaux ont subi des vols de données. Le matériel informatique a été dérobé et leurs disques durs ont été entièrement siphonnés. La data est ensuite revendue sur le dark net (réseau internet anonymisé, ndlr) à une véritable sous-traitance qui s'est positionnée sur ce créneau. Les données peuvent intéresser par exemple des laboratoires pour vérifier que vous prescrivez bien leur médicament", raconte Stéphane Tonelli, enquêteur cybersécurité de la section de recherche de la gendarmerie à Toulouse, lors d'une intervention à la Mêlée numérique mercredi 2 octobre.

Si l'expert remarque que les vols de données de santé sont en pleine recrudescence, aucune entreprise n'est à l'abri de cette menace. "En septembre 2019, les données de 130 000 gendarmes ont été exposées à cause d'un prestataire en charge de leur habillement qui a laissé temporairement accessible en ligne une base de données. En 2018, les données de 500 millions de clients ont été touchées par une attaque chez les hôtels Marriott. En Inde, 1 milliard de citoyens ont été impactés par le piratage de la plateforme biométique Aadhaar", énumère Frédéric Lenfant, analyste cybermenaces et protection des données chez Continental Digital Services France.

Rançon et vol au profit de la concurrence

Ces attaques peuvent impacter les finances d'une entreprise de plusieurs manières. "Les hackers peuvent dérober vos données, évaluer le gain financier qu'ils pourraient gagner en les revendant et vous demander une rançon correspondante", ajoute Frédéric Lenfant.

Le vol peut également être lié à de l'espionnage industriel. "J'ai travaillé pour des entreprises qui ont perdu régulièrement des dizaines de millions d'euros au profit de leur concurrent. Les données sont dérobées via une simple clé USB, parfois les données sont tout simplement accessibles à tous. Cela peut être des méthodes de fabrication ou un fichier fournisseurs/clients qui va servir à faire du sourcing pour de l'approvisionnement", relève Pierre-Yves Bonnetain, expert en sécurité informatique au sein de Nesterenko.

Sanctions administratives et pénales

Enfin, des sanctions peuvent s'appliquer aux entreprises ciblées.

"La Cnil peut imposer des sanctions administratives en vertu du RGPD (règlement général de protection des données) si la violation des données personnelles a eu lieu par négligence. Par exemple, l'assurance en ligne Active a reçu une amende de 180 000 euros pour avoir laissé les données des clients accessibles. Bouygues Telecom s'est vu infliger une pénalité de 250 000 euros pour ne pas avoir assez protégé les données de ses clients Bandyou.

De même, si le chiffrement des données ou les mots de passe sont trop simples, c'est sanctionné comme si aucune protection n'était active. Pareillement, les entreprises qui n'ont pas pris assez de précautions pourraient ne toucher qu'une infime partie de l'indemnisation par leur assurance, en considérant que c'est comme si vous aviez laissé les clés sur votre voiture en pleine rue", alerte l'avocate Alexandrine Pantz.

Frédéric Lenfant enfonce le clou :

"Et encore il ne s'agit là que des sanctions administratives. Les clients dont les données personnelles ont été dérobées peuvent attaquer au pénal pour demander à l'entreprise des dommages et intérêts. Imaginez l'impact financier pour les hôtels Marriot, dont les données de 500 millions de clients ont été siphonnées. C'est un risque à prendre en compte par les entreprises."

Quelles mesures de prévention ?

Pour se prémunir de ces attaques informatiques, "il n'y a pas de solution miracle", prévient Pierre-Yves Bonnetain.

"Il faut instaurer un mot de passe différent pour chaque compte. Si vous avez 250 comptes, c'est autant de mots de passe. Il existe des gestionnaires de mots de passe comme Keypass ou Onepassword. L'authentification à multiples facteurs est également efficace. Ce procédé est utilisé par les banques qui vous envoient un code sur votre téléphone. Pour vous piratez, il faut non seulement le mot de passe mais aussi votre code. Enfin, on peut aussi limiter les droits d'accès à certaines informations pour un nombre limité de collaborateurs au sein d'une entreprise. C'est une protection car en cas de virement malveillant, seuls ceux qui avaient accès pourront être interrogés", conclut-il