Si ces attaques ne sont pas divulguées, c’est surtout en raison de l’absence de cadre légal. Mais cela est en voie de changer. Dans les dernières années, des pays, conscients de l’ampleur et de l’accroissement certain des risques, ont commencé à légiférer en ce sens. Pour l’exemple, l’Union européenne a adopté en avril 2016 son règlement général sur la protection des données (RGPD), lequel est en vigueur depuis le 25 mai 2018. Sa portée, qui ne se limite pas aux pays membres, est aussi extraterritoriale. Cela signifie que toute entreprise dont les activités touchent un de ses citoyens ou une de ses entreprises, doit s’y conformer. En droit, l’omission de ce faire constitue une faute de négligence, et le retard à corriger une situation dans les plus brefs délais en est une de manquement d’avoir agi avec diligence. Il n’est pas loin le temps où les entreprises auront une obligation de moyens en matière de protection des données, assortie d’une obligation de divulgation en cas d’attaques réussies…