En 2024, la France a connu une recrudescence préoccupante des violations massives de données. Face à ce constat et cette menace croissante, la Commission Nationale de l’informatique et des libertés (dénommée ci-après la « CNIL ») formule plusieurs recommandations afin de lutter efficacement contre ces violations de grande ampleur1.
Selon la CNIL 5.629 violations de données personnelles lui ont été notifiées en 2024, soit 20% de plus que l’année précédente. Non seulement ces violations sont plus nombreuses mais elles sont aussi de plus grande ampleur qu’en 2023.
La CNIL entend donc agir pour prévenir davantage l’apparition de ces violations. Pour ce faire, la CNIL a fait de la cybersécurité un des points majeurs de son plan stratégique2 pour les 4 prochaines années (2025-2028).
La CNIL souligne que ce sont des défauts de sécurité courants qui sont à l’origine de la plupart des cyberattaques et donc des violations de données. Elle présente ainsi le mode opératoire le plus souvent constaté dans les récentes cyberattaques, à savoir :
- L’accès aux informations de connexion,
- L’accès au système d’information,
- L’accès aux données,
- L’extraction des données,
- La vente des données.
La CNIL s’est donc appliquée à identifier les failles de sécurité récurrentes à chaque étapes de la cyberattaque et a formulé des recommandations pour y remédier :
1- L’accès aux données de connexion
Les défauts de sécurité liés aux données de connexion sont particulièrement critiques car ils constituent le point d’entrée des cyberattaquants aux données stockées dans le système d’information de la victime.
La CNIL identifie ainsi différentes failles de sécurité liées aux identifiants de connexion, parmi lesquelles : l’existence de comptes de connexion génériques ou partagés, les techniques d’hameçonnage3 ou encore l’installation de logiciels malveillants.
Pour remédier à ces défaillances de sécurité récurrentes, la CNIL formule trois recommandations :
- Mettre en place une authentification multifacteur4,
- Favoriser les comptes individuels,
- Sensibiliser les collaborateurs aux risques et aux principaux types d’attaques en matière de cybersécurité5.
Les défauts de sécurité liés aux données de connexion ne sont que la première étape d’une cyberattaque. L’existence de failles au niveau de l’accès au système d’information facilite ensuite la progression des cyberattaquants.
2- L’accès au système d’information
Selon la CNIL, certains systèmes d’information sont en accès libre sur Internet, ce qui constitue une faille de sécurité majeure. À cela s’ajoutent des défauts de sécurité au niveau des pare-feu et des passerelles VPN.
La CNIL recommande donc de limiter l’accès au système d’information aux seuls équipements authentifiés6 en vue de lutter contre les risques de sécurité.
3- L’accès aux données
Une fois que les cyberattaquants ont accès au système d’information, les failles de sécurité, telles que des habilitations trop larges, l’absence de limitations sur les requêtes ou encore la conservation de données pendant une durée excessive, facilitent la poursuite de leurs cyberattaques.
Afin de renforcer la sécurité, la CNIL incite à mettre en œuvre une politique d’habilitation en restreignant les droits d’accès à ce qui est strictement nécessaire7, ainsi qu’à appliquer des limitations tant sur le volume de données exportables que sur la durée de conservation des données. Rappelons à cet égard que le RGPD recommande une conservation des données pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées8.
4- L’extraction et la vente massives de données
Une fois que le cyberattaquant a accès aux données, il les extrait de manière massive. Cependant, les organismes ne disposent pas ou que rarement d’outils permettant de détecter une activité anormale ni de réagir rapidement en cas d’alerte ou de suspicion d’activité illicite au sein du système d’information. L’absence de détection de l’exfiltration massive de données permet ainsi facilement au cyberattaquant de proposer les données à la vente.
Pour lutter contre ces failles de sécurité, la CNIL suggère d’instaurer une analyse en temps réel des flux réseaux9 afin de détecter un accès frauduleux ou un usage abusif ainsi que de mettre en place une recherche de fuite sur internet10 (RIFI) permettant d’identifier une fuite accidentelle, intentionnelle ou malveillante.
Selon la CNIL11, 55% des violations de données ont pour origine des actes malveillants externes et 20% sont dues à des erreurs humaines internes à l’entreprise. Il est donc non seulement nécessaire de renforcer les systèmes de sécurité mais également de sensibiliser et former les utilisateurs de systèmes d’information susceptibles d’accéder à des données personnelles, aux risques et aux conséquences de cyberattaques.
- Violations massives de données en 2024 : quels sont les principaux enseignements et mesures à prendre ? | CNIL
↩︎ - Plan stratégique 2025-2028
↩︎ - Un utilisateur a reçu un message (hameçonnage) l’invitant à saisir son identifiant et son mot de passe sur un faux site. ↩︎
- Sécurité : Authentifier les utilisateurs CNIL ↩︎
- Sécurité : Impliquer et former les utilisateurs CNIL ↩︎
- Sécurité : Protéger le réseau informatique CNIL ↩︎
- Sécurité : Gérer les habilitations CNIL ↩︎
- Article 5 e) du RGPD ↩︎
- Sécurité : Tracer les opérations CNIL ↩︎
- La recherche sur Internet de fuites d’informations (RIFI) CNIL ↩︎
- Infographies – Bilan 5 ans violations de données – CNIL ↩︎
