5629. C'est le nombre de violations de données notifiées à la Commission nationale de l'informatique et des libertés (Cnil) en 2024, soit une augmentation de 20% par rapport à l'année précédente. Les mauvaises nouvelles ne s'arrêtent pas là : l'autorité de protection des données a constaté que le nombre de violations touchant plus d'un million de personnes a doublé en un an.
Le vol de données en nette augmentation
Ce constat est partagé par le Club des experts de la sécurité de l'information et du numérique (CESIN) qui vient de publier la 10e édition de son baromètre annuel, dont les conclusions reposent sur les réponses de 401 membres de l'association. Il relève que l'impact des cyberattaques s'intensifie, avec en tête le vol de données (personnelles ou stratégiques) en nette augmentation (+11 points à 42%).
Pour rappel, selon la Cnil, une violation de données est une perte de disponibilité, d'intégrité ou de confidentialité des données personnelles, que son origine soit accidentelle ou la conséquence d'une activité malveillante. En pratique, cela peut être une fuite de données, une attaque ou encore une perte de matériel. Les exemples ne manquent pas dans l'actualité : Free, France Travail ou encore Picard.
Du côté des individus, le risque principal est celui de l'usurpation d'identité et le risque de phishing. Du côté des entités, au-delà de la perte de confiance induite, le vol de données peut représenter un certain coût et le risque d'être victime d'espionnage industriel en fonction de la cible.
Des guides pour rappeler les bonnes pratiques
Face à ce constat particulièrement inquiétant, la Cnil annonce "intensifier" sa collaboration avec "les acteurs de la cybersécurité", en particulier l'Agence nationale de la sécurité des systèmes d'information (Anssi). Dans le cadre de ce partenariat, cette dernière a publié un document sur "Les Essentiels : se protéger contre les fuites de données". De son côté, la Cnil a produit un guide sur la sécurité des données. Les deux s'accordent sur une conclusion, connue depuis longtemps : la mise en place ou le renforcement de certaines mesures de sécurité pourrait limiter les violations de données.
Les informations collectées par la Cnil montrent que "les modes opératoires des attaquants sont souvent similaires". Ils exploitent "régulièrement les mêmes failles", telles que les informations de connexion. Autre constat : les intrusions et exfiltrations n'ont pas été détectées par l'organisme avant la mise en vente des jeux de données. En effet, 67% des vols de données sont restés indétectées pendant plus de 100 jours. Il est également intéressant de souligner qu'une part significative des incidents impliquait un sous-traitant.
De façon globale, l'analyse des différentes phases des violations révèle qu'une succession de défauts de sécurité courants a permis à l'attaquant de passer d'une étape à l'autre. Le mode operantis est le suivant : accès à des données de connexion, accès au système d'information, analyse du système et accès aux données, extraction massive des données, puis proposition des données à la vente.
Le MFA et l'EDR, en tête des solutions les plus efficaces
Les mesures préconisées par la Cnil ne sont absolument pas nouvelles. Il s'agit de la mise en place d'une authentification multifacteur (MFA), en particulier pour les accès à distance. Les membres du CESIN le recommandent d'ailleurs eux-mêmes : ils sont 60% à considérer cette mesure comme l'une des solutions les plus efficaces, avec l'Endpoint detection and response (EDR) en tête (64%).
De son côté, l'Anssi rappelle l'importance de la sensibilisation des salariés ainsi que de développer, faire développer, ou choisir des applications en respectant le principe des données dès la conception et par défaut, par exemple en appliquant des règles restrictives quant à l'exportation massif de données.
La gestion du sous-traitant est également une question centrale. Parmi les failles identifiées, est cité le fait que les données sont collectées ou partagées par un sous-traitant de façon excessive au regard de la finalité du traitement. Dans ce cadre, elle recommande de vérifier périodiquement que les garanties de sécurité offertes par les sous-traitants/prestataires sont suffisantes et de prévoir la mise en place des mesures de sécurité adaptées dans les contrats.
La cybersécurité, un axe essentiel pour la Cnil
Dans le cadre de son plan stratégique 2025-2028, l'autorité de protection des données a choisi la cybersécurité parmi ses quatre grands axes, avec l'IA, les mineurs et les usages numériques au quotidien. Son but : "faire de chacun un acteur de la cybersécurité pour renforcer la confiance dans le numérique". Pour y parvenir, elle souhaite par exemple contribuer au développement de solutions techniques de la vie privée.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
