Malgré l’obligation pour les organisations de signaler toute cyberattaque qu’elles ont subie, certaines d’entre elles décident de couvrir ces hacks, quitte à prendre le risque de voir une certaine quantité de données être revendues ou divulguées sur le net. Une étude publiée par Bitdefender a mis en avant ce phénomène de non-signalement.

Omettre une violation de la confidentialité des données personnelles : une tendance à la mode

Cette étude révèle que 42 % des professionnels de l’informatique et de la sécurité interrogés ont reçu l’ordre de ne pas alerter les autorités. Plus loin encore, 30 % de ces employés n’ont pas évoqué à leurs collègues, ni à leur supérieur hiérarchique une violation de la confidentialité des données personnelles. Bien que toutes les entreprises soient tenues de le faire, certaines organisations sont prêtes à ignorer cette obligation dans le but d’éviter des sanctions juridiques et financières.

Parmi les exemples les plus connus, celui de Joseph Sullivan, ancien chef de la sécurité d’Uber. En octobre 2022, l’ancien employé de la plateforme de mise en relation avec des chauffeurs VTC avait été reconnu coupable d’avoir dissimulé une cyberattaque en 2016. En tout, 57 millions d’utilisateurs et 7 millions de chauffeurs ont vu la confidentialité de leurs données compromises. Sans alerter les autorités, Uber avait versé 100 000 dollars à un cybercriminel pour qu’il ne divulgue aucune des données qu’il avait réussi à subtiliser sur les serveurs de l’entreprise.

Mais alors, pourquoi tant d’entreprises font-elles pression sur leur personnel pour cacher ces violations de données personnelles ? Pour Andrei Florescu, directeur général adjoint et vice-président senior des produits chez Bitdefender, « Dans le monde entier, les organisations sont soumises à une pression énorme pour faire face à des menaces en constante évolution telles que les ransomwares, les vulnérabilités zero-day, et l’ingénierie sociale ». Ces trois menaces sont celles qui inquiètent le plus les professionnels de la cybersécurité selon le rapport.

Les entreprises contraintes d’investir pour améliorer leur cybersécurité

Parallèlement à la recrudescence des cybermenaces, les entreprises doivent de plus en plus se conformer au cadre législatif qui tend à se renforcer. Au sein de l’Union européenne, le Cyber Resilience Act présenté en septembre 2022 aura pour but d’établir des règles de cybersécurité régissant sur l’ensemble du territoire européen. Les entreprises seront notamment obligées de mettre à jour ou d’appliquer des correctifs aux outils numériques qu’ils utilisent ou qu’ils proposent au grand public pendant une durée de cinq ans.

Si cette réglementation est bénéfique pour s’assurer que les organisations ne se fassent pas attaquer, elle les oblige à se mettre en conformité. Les sociétés sont donc contraintes de recruter du personnel adéquat à la mise en place de ces correctifs, alors qu’une pénurie de talents fait rage depuis plusieurs années. Elles doivent également investir dans des formations et des solutions de prévention, de détection et de réponse aux menaces. Un processus qui prend du temps et peut faire perdre plus d’argent que prévu aux entreprises.

De ce fait, certaines organisations ne prennent pas en compte ces prérogatives. Ainsi, en alertant les autorités, elles craignent de faire l’objet de poursuites pénales à la suite de ce piratage et d’être condamnée pour ne pas avoir fait le nécessaire pour garantir au mieux la sécurité et la confidentialité de leurs données personnelles.