La Commission irlandaise pour la protection des données inflige à Instagram une amende de 405 millions d’euros | 64% des entreprises soupçonnent avoir été ciblées ou impactées par des cyberattaques d’États-nations 

L’ESSENTIEL DE LA TECH : Retrouvez chaque mercredi des informations sur le secteur des nouvelles technologies. 

L’INFO ➡ La DPC (Data Protection Commission) – l’équivalent de la CNIL (Commission nationale de l’informatique et des libertés) en Irlande – a annoncé ce lundi son verdict quant aux manquements qu’elle reproche à Instagram, la filiale du groupe Meta. Le régulateur irlandais inflige une amende de 405 millions d’euros au réseau social pour ne pas avoir fait les efforts nécessaires afin de protéger les données de ses utilisateurs, en particulier les mineurs de plus de 13 ans (âge requis pour ouvrir un compte).

Fin 2020, une enquête avait été ouverte à ce sujet et la DPC présentait ses inquiétudes quant à la facilité pour les mineurs d’accéder à un compte professionnel et donc visible par tous les autres utilisateurs. Dans certains cas, il est aussi reproché à la plateforme d’avoir ouvert l’accès à des comptes de mineur par défaut et non pas uniquement aux seuls abonnés approuvés.

En 2018, l’adoption du Règlement général sur la protection des données (RGPD) confère des pouvoirs élargis de régulation face aux abus des géants du web comme Facebook, Twitter, Google ou encore Apple. La DPC est chargée pour le compte de l’Union européenne de s’intéresser plus particulièrement aux pratiques de Facebook et l’amende qu’elle vient de prononcer est la plus sévère infligée depuis 2018.

Dans la foulée de cette décision, un porte-parole de Meta – la maison-mère de Facebook et Instagram – a déclaré au média irlandais RTE que la grande plateforme allait faire appel, faisant notamment valoir que ce type de réglages avait été modifié l’année dernière.

LE CHIFFRE ➡ Près de deux tiers des organisations dans le monde (64%) soupçonnent avoir été soit directement ciblée, soit impactée par une cyberattaque d’un État-nation. C’est ce que révèle la nouvelle étude de Venafi, fournisseur en matière de gestion de l’identité machine et originaire de de Salt Lake City. Au total 1101 décideurs en matière de sécurité ont été interrogés au sein d’organisations à travers les États-Unis, le Royaume Uni, la France, l’Allemagne, le Benelux (Belgique, Pays-Bas, Luxembourg) et l’Australie.

L’étude a délivré plusieurs autres résultats :

• 66% des organisations ont modifié leur stratégie en matière de cybersécurité en réponse directe au conflit entre la Russie et l’Ukraine ;
• 77% des entreprises considèrent que nous sommes dans un état perpétuel de cyberguerre ;
• 82% d’entre elles pensent que la géopolitique et la cybersécurité sont intrinsèquement liées ;
• Plus des deux tiers (68%) ont eu davantage de conversations avec leur conseil d’administration et leur direction en réponse au conflit entre la Russie et l’Ukraine ;
• 64% pensent que la menace d’une guerre physique représente bien plus qu’une préoccupation dans leur pays plutôt que la cyberguerre.

Venafi a également montré que des groupes APT chinois utilisent du cyber-espionnage pour faire avancer le renseignement international de la Chine, tandis que des groupes nord-coréens canalisent les recettes du cybercrime directement vers les programmes d’armement des nations. 

L’attaque de SolarWinds — qui a compromis des milliers de sociétés en exploitant des identités machines pour créer des chevaux de Troie et obtenir un accès fiable à des actifs clés – représente un exemple essentiel de l’échelle et de la portée des attaques d’États-nations qui utilisent des identités machine compromises. 

Enfin, la récente attaque russe de HermeticWiper, qui a violé de nombreuses entités ukrainiennes quelques jours avant l’invasion du pays par la Russie, a utilisé une signature de code pour authentifier des malwares dans un exemple récent d’abus d’identité machine.

« Les attaques des États-nations sont hautement sophistiquées et elles utilisent souvent des techniques inconnues jusqu’alors. Cela les rend extrêmement difficiles à contrer », explique Kevin Bocek, vice-président chargé de la stratégie de sécurité et des informations sur les menaces chez Venafi. « Les identités machine étant régulièrement utilisées dans le cadre de la chaîne de destruction des attaques d’États-nations, chaque organisation doit renforcer les mesures permettant de gérer ces actifs de sécurité cruciaux. L’exploitation d’identités machine devient le modus operandi pour de nombreux acteurs de menaces d’États-nations. »

A LIRE EGALEMENT : Qui est Liz , la nouvelle Première ministre britannique ?