Cybersécurité : Les trois conseils de la Cnil pour éviter les fuites de données

Face à l'augmentation "d'une ampleur inédite" des fuites de données en 2024, la Commission nationale de l'informatique et des libertés (Cnil) rappelle les fondamentaux pour sécuriser les bases de données. Les informations fournies par les organismes, lors de la notification d'une violation de données, montrent que les violations sont dues à des attaques opportunistes. Elles ont souvent "des modes opératoires similaires" rendus possible par "des défauts récurrents de sécurité", parmi lesquels l'usurpation des connexions d'utilisateurs ou encore la détection a posteriori des intrusions et exfiltrations. 

Les fuites des grandes bases de données explosent

L'autorité française s'inquiète en particulier des fuites des grandes bases de données, celles qui contiennent les données de plusieurs millions de personnes, autrement dit "une part significative de la population". En 2024, le nombre de violations touchant plus d’un million de personnes a ainsi doublé en un an, passant d’une vingtaine à une quarantaine d’attaques réussies. Les exemples d'entités touchées sont malheureusement nombreux : France Travail, Free, Boulanger, Auchan...

Partant de ce constat, la Commission propose trois règles à appliquer. La première porte sur la sécurisation des accès externes au système d'information. La mise en place de l'authentification multifacteur – une méthode de sécurité qui exige au moins deux preuves d'identité pour accéder à un compte ou un service – est "une mesure essentielle". Plus précisément, l'autorité recommande de privilégier l'utilisation de l'authentification reposant sur un facteur de possession, c'est-à-dire un élément secret non mémorisable, tel qu’une clé cryptographique, permettant de prendre part à des protocoles d’authentification. 

Trop de comptes protégés uniquement par un mot de passe

En effet, la Cnil révèle que près de 80% des violations de grande ampleur constatées en 2024 ont été permises par l’usurpation du compte d’un employé ou d’un sous-traitant qui était protégé uniquement par un mot de passe. Elle juge que malgré les efforts humains, financiers et les délais que cela implique, la mise en place de l’authentification multifacteur pour sécuriser les accès distants aux grandes bases de données est justifiée au vu des risques et des gains en sécurité.

Le deuxième conseil concerne la journalisation, l'analyse et la fixation des limites sur les flux de données qui transitent sur le système d'information. La Cnil recommande aux responsables de traitement et sous-traitants de mettre en place une journalisation adaptée pour détecter rapidement les incidents liés aux données personnelles. Cela implique une organisation humaine capable d’analyser et de réagir aux alertes efficacement.

La journalisation doit également permettre une traçabilité claire des accès et actions, avec conservation des logs entre six mois et un an. Enfin, il convient de cibler les journaux selon les risques, les supports et les événements critiques pour garantir une supervision efficace.

Renforcer la sensibilisation des utilisateurs

Le troisième conseil porte sur le facteur humain. La Commission rappelle que le RGPD impose aux responsables de traitement et sous-traitants de mettre en place des mesures techniques et organisationnelles adaptées aux risques. Les formations et sensibilisations régulières sont essentielles pour éviter les erreurs humaines à l’origine de nombreuses violations de données. Parmi les erreurs fréquentes : partage de comptes, clics sur des liens de phishing, et installation de malwares. Des ressources comme celles de cybermalveillance.gouv.fr peuvent appuyer cette sensibilisation (kits, MOOC...). 

En raison du grand nombre de violations intervenues sur des bases de clients/prospects et usagers, la Commission estime "qu’un effort spécifique de sécurisation est nécessaire". Ainsi, elle demande à toutes les entreprises possédant de grandes bases de s’assurer que des mesures adaptées aux risques soient déployées, en particulier une authentification multifacteur pour les employés, partenaires, sous-traitants et autres intervenants accédant à distance à la base. Dès 2026, l'autorité prévoit de renforcer sa politique de contrôle à ce sujet.