Ransomware : des notifications à la CNIL en nombre insuffisant

Le bilan de l’année 2022 récemment publié par la Commission nationale informatique et libertés (CNIL) ne précise pas combien de notifications de violations de données lui ont été adressées à la suite d’une cyberattaque impliquant un ransomware. Cette information est à chercher dans sa plaquette cybersécurité.

Dans ce document, la CNIL indique avoir reçu, en 2022, « 1 228 notifications de violations résultant d’une attaque par rançongiciel », soit près d’un tiers du total des notifications de violations reçues l’an dernier. 

Las, en 2022, Cybermalveillance.gouv.fr a reçu 1 629 demandes d’assistance pour cyberattaque avec ransomware (hors particuliers). Soit environ un tiers de plus que le nombre de notifications faites à la CNIL pour le même motif. 

Comme le rappelle la Commission dans sa plaquette, une violation de données personnelles, c’est « tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles ». 

Et là, une notification est obligatoire, « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». Et cela « même lorsqu’il s’agit d’une indisponibilité temporaire ». Cela vaut donc qu’il y ait paiement de rançon ou pas, et même en l’absence de divulgation de données éventuellement volées avant le chiffrement. 

Cet écart entre les chiffres de la CNIL et ceux de Cybermalveillance.gouv.fr a dès lors de quoi surprendre : les cybercriminels sont particulièrement friands de données personnelles et il est particulièrement rare, sinon exceptionnel, qu’une cyberattaque avec rançongiciel ne se traduise pas par une violation de données personnelles.

La CNIL a d’ailleurs pris la peine de rappeler, début février, les obligations des victimes de cyberattaque avec rançongiciel, à l’occasion de l’importante campagne dite ESXiArgs.