Image principale 1
Image principale 1
© maho - stock.adobe.com
En bref

Violations massives de données personnelles : les préconisations de la CNIL

Temps de lecture  3 minutes

Par : La Rédaction

Face à la recrudescence des violations massives de données personnelles en 2024, la Commission nationale de l'informatique et des libertés (CNIL) publie un document destiné principalement à informer les organismes disposant de nombreuses données personnelles à la fois sur les méthodes des pirates informatiques et sur les moyens de s'en protéger.

Cette publication, en date du 28 janvier 2025, établit des recommandations. Elle s’inscrit dans le prolongement du plan stratégique 2025-2028 publié le 16 janvier 2025 qui fait de la cybersécurité l’un de ces quatre principaux axes.

5 629 violations de données personnelles notifiées à la CNIL en 2024

En 2024, la CNIL a été notifiée de 5 629 violations de données personnelles, soit 20% de plus qu’en 2023

La Commission constate que le nombre de violations touchant plus d’un million de personnes a doublé en un an.

Les incidents les plus fréquemment notifiés à la CNIL permettant d’obtenir les données de connexions sont les suivants :

  • des comptes de connexion sont génériques ou partagés ;
  • un utilisateur a reçu un message (hameçonnage) l’invitant à saisir son identifiant et son mot de passe sur un faux site ;
  • un logiciel malveillant a été installé sur le poste d’un utilisateur et a permis de dérober les données de connexion ;
  • un utilisateur a accepté de vendre ses données de connexion ;
  • des données de connexion, issues d’une précédente fuite, sont proposées sur le marché noir.

La plupart des attaques exploitent les même failles, à savoir :

  • les informations de connexion utilisées pour l’attaque avaient été compromises ;
  • les intrusions et les exfiltrations n’ont pas été détectées par l’organisme avant la mise en vente des jeux de données ;
  • une part significative des incidents impliquait un sous-traitant.

Protection des données personnelles : les plaintes enregistrées par la CNIL en hausse en 2023

La Commission nationale de l’informatique et des libertés (CNIL) a enregistré un nombre record de plaintes en 2023 (16 433) soit le double par rapport à avant 2018 (8 360 plaintes en 2017). Par ailleurs, les sites web de la CNIL ont cumulé environ 11,8 millions de visites (800 000 visites de plus qu’en 2022).

En bref

Quelles sont les recommandations de la CNIL ?

La publication de la CNIL met en avant un certain nombre de bonnes pratiques pour prévenir les attaques informatiques

Pour y faire face, la CNIL recommande entre autres :

  • de mettre en place une authentification "multifacteur", en particulier pour les accès à distance, et de systématiser les comptes nominatifs individuels ;
  • de limiter l’accès au réseau (y compris via un réseau privé virtuel, VPN) aux seuls équipements authentifiés ;
  • de mettre en œuvre une politique d’habilitation et de définir des droits d’accès restreints à ce qui est strictement nécessaire en fonction notamment des besoins métiers, fonctionnels, de périmètres temporel ou encore géographique ;
  • d'analyser en temps réel des flux réseaux et des journaux et de disposer d'une capacité opérationnelle à traiter les alertes ;
  • de développer une recherche de potentielles fuites sur internet, dans le respect du RGPD et du code pénal.

Sécurité informatique des hôpitaux : une dynamique de protection à amplifier

Les cyberattaques se multiplient, dans un contexte de fortes tensions géopolitiques. Lorsqu’elles ciblent des établissements de santé, elles peuvent avoir de graves conséquences sur leur fonctionnement et sur la continuité et la qualité des soins. Le point sur la sécurité informatique de ces établissements en France.

En bref

MOTS CLÉS

En ce moment

Haut de page