🏴‍☠️ Augmentation des violations de données : le rapport sur la confidentialité 2024 de l’Italie révèle les risques liés aux ransomwares

Drame des violations de données : le garant italien de la vie privée lève le voile sur les échecs cyber

Un nouveau rapport révèle une explosion des violations de données, des notifications défaillantes et la progression implacable des ransomwares dans les secteurs public et privé italiens.

En bref

En 2024, deux notifications de violation de données sur trois en Italie étaient incomplètes et ont nécessité un suivi.
Parmi les victimes du secteur public figurent des municipalités, des hôpitaux et des écoles ; les cibles du secteur privé vont des télécoms aux petites entreprises.
Le ransomware reste la principale menace, impliquant souvent des tactiques de « double extorsion ».
La plupart des violations impliquent un accès non autorisé ou une simple erreur humaine - comme une mauvaise configuration des emails ou des systèmes informatiques.
Les délais de réponse réglementaires et les règles de notification sont critiqués pour leur lenteur et leur lourdeur bureaucratique.

Derrière les gros titres : un état des lieux de la cybersécurité

Imaginez une piazza italienne bondée : les secrets de chaque citoyen, dossiers médicaux et détails financiers passant de main en main. Maintenant, imaginez un voleur masqué se faufilant dans la foule, subtilisant des données à volonté. Voilà le tableau dressé par le Garante Privacy dans son rapport 2024 - une année où personne, des mairies aux géants des télécoms, ne pouvait se prétendre à l’abri de la cybercriminalité.

Les chiffres sont éloquents. Les violations de données sont non seulement fréquentes, mais aussi mal gérées. Dans près de 67 % des cas, les organisations se sont précipitées pour envoyer des notifications préliminaires, qu’elles ont dû compléter par la suite - une traçabilité qui réconforte peu ceux dont les données circulent déjà librement. Ce n’est pas qu’un problème italien : partout en Europe, le RGPD impose un délai de 72 heures pour signaler une violation, mais la réalité est tout autre. La plupart des notifications relèvent d’une case à cocher bureaucratique, suivie de mises à jour confuses ou tardives aux véritables victimes.

Anatomie d’une violation : ransomware et erreur humaine

Le rapport identifie deux principaux coupables : les attaques par ransomware et les bonnes vieilles erreurs humaines. Les groupes de ransomware utilisent la « double extorsion » - non seulement ils verrouillent les données, mais menacent de les divulguer si la rançon n’est pas payée. En 2024, cela a touché hôpitaux, conseils municipaux et même écoles, perturbant des services essentiels et mettant en danger des dossiers sensibles.

Mais toutes les violations ne sont pas orchestrées par des hackers de l’ombre. Beaucoup résultent de maladresses : une mauvaise configuration d’un système de messagerie, un clic erroné, ou une infrastructure informatique défaillante. Ces erreurs, moins spectaculaires, peuvent être tout aussi dommageables lorsque des données personnelles s’échappent.

Les enquêtes du Garante vont au-delà de la paperasse. Les inspecteurs vérifient si les organisations disposent de véritables mesures de protection ou se contentent de cocher des cases. Dans la santé en particulier, les amendes pour sécurité insuffisante font la une - soulignant les enjeux majeurs lorsque les données de santé sont en péril.

Bureaucratie et risques : les angles morts de la loi

Le rapport n’hésite pas à critiquer les règles elles-mêmes. La fameuse règle des 72 heures ? Davantage un obstacle bureaucratique qu’un véritable bouclier pour les victimes. Le temps que les notifications officielles parviennent aux personnes concernées, le mal est souvent déjà fait - les fuites médiatiques devancent les alertes officielles, et le public tente de rattraper l’information.

L’ambiguïté de la loi - comme la définition d’un « risque improbable » - laisse les organisations dans le flou. Doivent-elles notifier chaque incident mineur, ou seulement les violations majeures ? Même le comité européen de la protection des données peine à clarifier, laissant place à des réponses disparates et, parfois, à une avalanche d’alertes inutiles.

Les implications sur le marché sont profondes : la confiance s’érode, les coûts de conformité explosent, et les cybercriminels continuent de profiter de la confusion. L’expérience italienne reflète les tendances mondiales, où l’intention réglementaire et l’impact réel se heurtent souvent.

WIKICROOK

Violation de données : Une violation de données se produit lorsque des personnes non autorisées accèdent à des données privées ou les volent auprès d’une organisation, entraînant souvent l’exposition d’informations sensibles ou confidentielles.
Ransomware : Le ransomware est un logiciel malveillant qui chiffre ou verrouille des données, exigeant un paiement des victimes pour restaurer l’accès à leurs fichiers ou systèmes.
Double extorsion : La double extorsion est une tactique de ransomware où les attaquants chiffrent les fichiers et volent les données, menaçant de les divulguer si la rançon n’est pas payée.
RGPD : Le RGPD est une loi stricte de l’UE et du Royaume-Uni qui protège les données personnelles, obligeant les entreprises à traiter les informations de manière responsable sous peine de lourdes amendes.
Analyse des risques : L’analyse des risques identifie et évalue les menaces potentielles pour la sécurité des données, aidant les organisations à comprendre et gérer efficacement les risques liés à la cybersécurité.