Archives pour la catégorie cyber criminalité

Cyber risque : les vraies sanctions de la CNIL pour une entreprise ne sont pas financières

CNIL : Commission Nationale Informatique et Libertés
La Commission Nationale Informatique et Libertés – CNIL -, est l’autorité administrative indépendante qui contrôle le respect de la Loi Informatique et Libertés du Loi 78-17 du 6 janvier 1978. Ses agents ont la charge de réguler, contrôler et sanctionner le non-respect de la Loi Informatique et Libertés. Voici les conseils d’un courtier grossiste en assurance pour les entreprises.

Quelles missions la CNIL a-t-elle en charge ?

La CNIL surveille et fait le recensement des fichiers contenant des données personnelles. Elle donne également son autorisation pour les traitements de données les plus sensibles, avant leur mise en place.

Les chiffres-clés de la CNIL en 2013 :

6 000 plaintes | 450 contrôles | 50 mises en demeure |
20 sanctions


Comment la CNIL contrôle-t-elle les entreprises ?

  • 40% des contrôles sont inopinés
    Ils correspondent à un programme annuel selon une thématique ou des secteurs d’activité définis à l’avance. Par exemple, on vise le marketing direct ou la vidéo surveillance. A tout moment, les agents de la CNIL peuvent donc venir chez vous, sans rendez-vous, pour exercer un contrôle, sans même qu’une plainte vous concernant n’ait été reçue.
  • 30% des contrôles sont issus de plaintes reçues par la CNIL
    En 2013 31% de ces plaintes étaient relatives au secteur internet et télécom, 15% relatives à des données de ressources humaines.
  • 30% des autres contrôles sont liés à la vidéo protection (secteur public) et vidéo surveillance (secteur privé) dont la CNIL est aussi responsable.

Quel risque pour l’entreprise contrôlée ?

Suite à un contrôle, vous recevez un rapport d’audit et une mise en demeure relative aux violations constatées.

1. Vous avez un délai de 3 mois maximum pour vous mettre en conformité.

Difficile de tenir un tel délai pour une entreprise, car bien souvent, les modifications de son système informatique et de son organisation sont nécessaires.

2. Passé ce délai, la CNIL peut prendre des sanctions financières.

Aujourd’hui, elles sont trop limitées et non-dissuasives avec un maximum de 150 000 € en première condamnation et 300 000 € en cas de récidive pour les grandes entreprises, mais pas les PME…  Le nouveau règlement européen va muscler ces sanctions qui pourront aller jusqu’à 5% du chiffre d’affaires d’une société ( !).

3. L’obligation de rendre public la mise en demeure de la CNIL

Le vrai pouvoir de sanction est là. Et il s’avère bien plus nuisible à l’entreprise qu’une simple sanction financière. La CNIL oblige de plus en plus à rendre publiques ses mises en demeure, à effet immédiat. Dans ce cas-là, tous les clients, fournisseurs et concurrents de la société sont informés des dysfonctionnements et infractions constatés sur le traitement des données personnelles.

L’impact que cela entraîne sur la réputation de la société et, par conséquent sur son activité, est bien plus important que celui d’une amende.

Google affiche la sanction CNIL sur sa home page

4. Deux exemples de sanctions tirés de l’actualité : Google et Acadomia.

  • L’amende record que la CNIL a infligée à Google (150 000€) est révélatrice. Si la sanction financière parait dérisoire comparée aux moyens financiers du géant américain, l’obligation de la notifier sur sa home page pendant 48h devrait lui coûter beaucoup plus en terme d’image.

Quelle protection pour l’entreprise ?

La meilleure protection est la combinaison d’un plan de gestion des risques qui passe par :

  • un audit que la CNIL peut faire sur demande
  • la souscription d’une assurance cyber risque : l’assureur sera alors à même de défendre une entreprise en cas de mise en cause suite à la perte ou le vol de ses données lors d’une attaque informatique. Et surtout, l’assureur du cyber risque couvrira les frais engagés pour informer de l’attaque les clients et fournisseurs,  et gérer la crise pour limiter l’impact sur sa réputation et son chiffre d’affaires.

——————————————————

Voir notre fiche Assurance Cyber-CriminalitéDemandez un code courtier pour devenir partenaire d'Add Value

31% des cyber-attaques visaient les TPE – PME en 2012

Les TPE – PME sont le maillon faible des entreprises en matière de Cybercriminalité.
C’est la tendance la plus importante qui ressort du rapport Internet Security Threat (ISTR) présenté par Laurent Heslault, directeur des Stratégies de sécurité chez Symantec, à l’occasion d’une conférence au Paris Executive Campus de Neoma Business School.

laurent-heslault-symantecEn cybercriminalité, il y a deux catégories d’entreprises : celles qui ont déjà subi une attaque, et… celles qui ne le savent pas encore. Laurent Heslault.

Les chiffres-clés concernant les TPE & PME en matière de cyber attaque :

  • 50% de toutes les attaques ciblées visaient des entreprises de moins de 2 500 salariés.
  • 31% des attaques visaient tout particulièrement les PME (entre 1 et 250 salariés).
  • Une attaque informatique a déjà pu infecter 500 entreprises, en un seul jour.

En 2011, Symantec montrait dans ce même rapport que toutes les entreprises, quelle que soit leur taille, étaient une cible potentielle du piratage informatique. Par conséquent, nous découvrons sans grande surprise les chiffres-clés de 2012 relatifs au cyber-crime visant les entreprises.

Retrouvez les analyses et les statistiques de la cyber-criminalité dans le monde, par secteur, par taille d’entreprise et par type d’attaque :

puce_lienTéléchargez en PDF le rapport Internet Security Threat  2012 de Symantec

Globalement, le nombre de piratages informatiques a augmenté de 42% entre 2011 et 2012. Et le phénomène ne fait que commencer avec l’explosion des usages des smartphones et des réseaux sociaux. Nous aurons l’occasion de commenter ce rapport dans d’autres articles à venir.

En attendant, profitez-en pour en savoir plus sur notre produit d’assurance cybercriminalité. Add Value Assurances est un courtier en assurance professionnelle, spécialistes des TPE – PME prestataires de services.
——————————————————

Voir notre fiche Assurance Cyber-CriminalitéDemandez un code courtier pour devenir partenaire d'Add Value