C'est la Commission nationale de l'informatique et des libertés (Cnil) qui le dit : "Le RGPD : la meilleure prévention contre les risques cyber". Comme l'explique l'autorité française, ce texte impose une obligation générale relative à la sécurité informatique. Les acteurs privés et publics doivent ainsi systématiquement s'interroger sur la sécurité des données dont ils ont la charge. Ils doivent également notifier les violations de données présentant des risques pour les personnes concernées et, lorsque le risque est élevé, informer ces dernières. C'est aussi ce qui permet à la Cnil d'avoir une vision assez proche de la réalité des fuites de données.
C'est ainsi qu'en 2023, l'autorité a de nouveau constaté une augmentation des violations de données qui lui ont été notifiées, ce qui confirme le besoin d'une vigilance accrue. Les actualités de ces dernières semaines ne font que confirmer cette tendance. Sur un laps de temps relativement court, la Caisse d'allocations familiales (CAF) puis France Travail (anciennement Pôle Emploi) ont été pris pour cible par des attaques informatiques.
Plusieurs milliers de comptes CAF touchés
C'est le 26 février dernier, après plusieurs jours de flou, que le groupe criminel LulzSec a finalement revendiqué l'attaque contre la CAF affirmant via X (ex Twitter) qu'il détenait 600 000 comptes de bénéficiaires (sur les 13,5 millions de bénéficiaires). De son côté, l'organisme public déclarait que "plusieurs milliers de comptes" avaient été illégalement consultés par les hackers. Il expliquait qu'ils avaient réussi à y pénétrer en accédant à leurs mots de passe sur le darknet. En revanche, il affirmait que cette cyberattaque n'avait pas pour origine une faille de sécurité qui pourrait lui être imputable. L'enquête ouverte sur cet incident le confirmera, ou pas.
A peine quelques jours plus tard, c'est donc France Travail qui a été victime d'un incident informatique. Le successeur de Pôle Emploi a annoncé le 13 mars que "des données personnelles de demandeurs d'emploi [avaient] été extraites et [étaient] donc susceptibles d'être divulguées de manière illégales". Il s'agit des noms et prénoms, dates de naissance, numéros de Sécurité sociale, identifiants France Travail, adresses email et postales, et numéros de téléphones. Un système simplifié de plainte a été mis en place pour les victimes souhaitant obtenir justice.
Un Français sur deux touchés par la cyberattaque de complémentaires santé
Parmi les événements récents, on peut également citer la cyberattaque qui a touché Viamedis et Almerys, deux entreprises gestionnaires du tiers payant pour des complémentaires santé et mutuelles. 33 millions de victimes, soit près d'un Français sur deux, sont à déplorer.
A ce stade, la quantité exacte de données exfiltrées n'est pas encore connue. En revanche, on sait avec certitude que des données personnelles au sens du Règlement général sur la protection des données (RGPD) sont concernées. Ce qui engendre des risques pour les victimes, tel que le phishing (hameçonnage) qui consiste à envoyer un email ou un SMS frauduleux réaliste du fait de l'utilisation des données dérobées préalablement à la victime. La conduite à tenir est la suivante : ne cliquez sur aucun lien et supprimez le message immédiatement. Les hackers peuvent également s'adonner à des campagnes d'usurpation d'identité.
La prévention, l'outil indispensable
Bien que des procédures soient ouvertes pour comprendre les circonstances de tels incidents et punir les responsables, il n'est pas possible à proprement parler de réparer les dommages causés par une perte de données personnelles. Les informations dérobées restent sur le darknet et les victimes restent sujettes aux risques de phishing et d'usurpation d'identité. D'où l'importance fondamentale de prévenir les cyberattaques, bien que le risque zéro n'existe pas.
Face à ce constat, l'Etat a instauré des campagnes de prévention notamment via son service Cybermalveillance.gouv.fr. Des conseils sont également mis à la disposition du public et des professionnels. A l'occasion du FIC, a été annoncée l'extension du dispositif SensCyber : "une e-sensibilisation" spécialement dédiée aux agents de la fonction publique. Elle a été intégrée en juin 2023 sur les intranets de 30 organisations de la sphère publique. Fort de "retours positifs" des premiers utilisateurs, SensCyber est désormais accessible à tous (grand public et collaborateurs des TPE-PME).
Une enveloppe d'un milliard d'euros pour stimuler l'écosystème
Du côté des investissements publics, le gouvernement a mobilisé une enveloppe d'un milliard d'euros, dont 720 millions d'euros de financements publics. Cette stratégie nationale pour la cybersécurité repose sur France Relance et le Programme d'investissement d'avenir. Plusieurs objectifs ont été fixés pour 2025, dont la multiplication par trois du chiffre d'affaires de la filière (passant de 7,3 milliards d'euros à 25 milliards d'euros), faire émerger trois licornes en cybersécurité ainsi que stimuler la recherche française en cyber.
Le paysage réglementaire est également en pleine évolution. Le Cyber Resilience Act, qui a fait l'objet d'un accord début décembre 2023 entre le Parlement européen et le Conseil, impose de nouvelles obligations aux fabricants, développeurs et revendeurs de produits connectés pour mieux protéger les données des consommateurs.
NIS 2, un changement de paradigme
De son côté, NIS 2 - qui a été publiée au Journal officiel de l'Union européenne en décembre 2022 et que la France doit encore transposer dans son droit interne dans un délai maximum de 21 mois - introduit "un changement de paradigme", d'après l'expression de l'Anssi.
Ce texte ne concerne pas directement les données personnelles mais s'agissant de sécurité informatique, il contribue sans aucun doute à en renforcer la protection. Il apporte une "évolution majeure", juge l'Anssi, en introduisant "un mécanisme de proportionnalité" qui distingue deux catégories d'entités régulées en fonction de leur niveau de criticité : "les entités essentielles" et "les entités importantes". Les premières sont celles réalisant des activités dans les secteurs catégorisés comme "hautement critiques" – définis dans l'annexe 1 de la directive – et disposant de plus de 250 salariés et avec un chiffre d'affaires supérieur à 50 millions d'euros. "Environ 600 types d'entités différentes seront concernées, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40", détaille l'Anssi.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
