Certaines entreprises omettent d’aleter les autorités pour plusieurs raisons : harcèlement des cybercriminels, peur des poursuites pénales, difficulté à se mettre en coformité avec la loi, etc.
Malgré l’obligation pour les organisations de signaler toute cyberattaque qu’elles ont subie, certaines d’entre elles décident de couvrir ces hacks, quitte à prendre le risque de voir une certaine quantité de données être revendues ou divulguées sur le net. Une étude publiée par Bitdefender a mis en avant ce phénomène de non-signalement.
Omettre une violation de la confidentialité des données personnelles : une tendance à la mode
Cette étude révèle que 42 % des professionnels de l’informatique et de la sécurité interrogés ont reçu l’ordre de ne pas alerter les autorités. Plus loin encore, 30 % de ces employés n’ont pas évoqué à leurs collègues, ni à leur supérieur hiérarchique une violation de la confidentialité des données personnelles. Bien que toutes les entreprises soient tenues de le faire, certaines organisations sont prêtes à ignorer cette obligation dans le but d’éviter des sanctions juridiques et financières.
Parmi les exemples les plus connus, celui de Joseph Sullivan, ancien chef de la sécurité d’Uber. En octobre 2022, l’ancien employé de la plateforme de mise en relation avec des chauffeurs VTC avait été reconnu coupable d’avoir dissimulé une cyberattaque en 2016. En tout, 57 millions d’utilisateurs et 7 millions de chauffeurs ont vu la confidentialité de leurs données compromises. Sans alerter les autorités, Uber avait versé 100 000 dollars à un cybercriminel pour qu’il ne divulgue aucune des données qu’il avait réussi à subtiliser sur les serveurs de l’entreprise.
Mais alors, pourquoi tant d’entreprises font-elles pression sur leur personnel pour cacher ces violations de données personnelles ? Pour Andrei Florescu, directeur général adjoint et vice-président senior des produits chez Bitdefender, « Dans le monde entier, les organisations sont soumises à une pression énorme pour faire face à des menaces en constante évolution telles que les ransomwares, les vulnérabilités zero-day, et l’ingénierie sociale ». Ces trois menaces sont celles qui inquiètent le plus les professionnels de la cybersécurité selon le rapport.