{"id":5594,"date":"2023-07-04T22:07:32","date_gmt":"2023-07-04T21:07:32","guid":{"rendered":"https:\/\/mouillere.com\/universconvergents\/?p=5594"},"modified":"2023-07-06T14:49:03","modified_gmt":"2023-07-06T13:49:03","slug":"typologie-et-cout-des-cyberattaques-en-france","status":"publish","type":"post","link":"https:\/\/mouillere.com\/universconvergents\/2023\/07\/04\/typologie-et-cout-des-cyberattaques-en-france\/","title":{"rendered":"Typologie et co\u00fbt des cyberattaques en France"},"content":{"rendered":"

Le cabinet Aster\u00e8s \u00e9value le co\u00fbt des cyberattaques r\u00e9ussies contre les organismes publics et priv\u00e9s fran\u00e7ais \u00e0 2 Mds\u20ac en 2022.<\/p>\n

<\/p>\n

Ont \u00e9t\u00e9 analys\u00e9s les principaux impacts \u00e9conomiques des trois types d\u2019attaques r\u00e9ussies couvertes par l\u2019\u00e9tude : intrusion dans le syst\u00e8me d\u2019information, attaque par ran\u00e7ongiciel et par d\u00e9ni-de-service. Le co\u00fbt de l\u2019ensemble de ces cyberattaques r\u00e9ussies se r\u00e9partit entre un co\u00fbt direct (44% des ressources allou\u00e9es \u00e0 la r\u00e9solution de la crise : mobilisation des \u00e9quipes internes, services professionnels externes, sollicitation des avocats, etc.), le paiement des ran\u00e7ons (44%) et des pertes d’exploitation (12%).<\/p>\n

Ce montant n\u2019inclut pas les amendes pour violation du RGPD (jusqu’\u00e0 4% du CA mondial) et les \u00e9ventuels dommages-int\u00e9r\u00eats \u00e0 verser par ces organismes aux personnes victimes desdites attaques au titre de la responsabilit\u00e9 du responsable du traitement et au droit \u00e0 r\u00e9paration (art. 82 du RGPD). Cependant, dans son arr\u00eat du 4 mai 2023, la CJUE a rappel\u00e9 que la simple violation du RGPD ne suffisait pas \u00e0 ouvrir droit \u00e0 r\u00e9paration si les trois conditions de la responsabilit\u00e9 n’\u00e9tait pas r\u00e9unies (manquement au RGPD, dommage et lien de causalit\u00e9). Ainsi, l’acc\u00e8s non-autoris\u00e9 \u00e0 des donn\u00e9es personnelles dans le contexte d’une cyberattaque n\u2019est pas suffisant pour conclure \u00e0 un manquement de la part du responsable du traitement \u00e0 son obligation de s\u00e9curit\u00e9. Le responsable du traitement pourra s’exon\u00e9rer en d\u00e9montrant que les mesures techniques et organisationnelles \u00e9taient ad\u00e9quates. Par ailleurs, la victime devra d\u00e9montrer qu’elle a concr\u00e8tement et sp\u00e9cifiquement subi un pr\u00e9judice r\u00e9el et certain, un simple m\u00e9contentement n’ouvrant pas droit \u00e0 r\u00e9paration.<\/p>\n