Vie des affaires

RGPD

Comment protéger les données personnelles face aux violations massives ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) vient de dresser le bilan des violations de données sur 2024 et rappelle les mesures que les entreprises peuvent adopter pour s’en prémunir au mieux.

Les violations de données personnelles en hausse croissante

Pour l’année 2024, la CNIL constate que les violations de grandes bases de données se sont multipliées. En effet, quelques 5 629 violations lui ont été notifiées soit une augmentation de 20 % par rapport à l’année 2023.

Ce qui est également notable c’est que les violations touchant plus d’un million de personnes en une fois ont doublé en un an (par exemple : les violations des bases de données de France Travail ou de Free).

Forte de ces constats, la CNIL souhaite prévenir, sensibiliser et contrôler d’avantages les mesures de sécurité mises en œuvre par les entreprises et organismes afin de protéger au mieux les données personnelles.

Connaître les éventuelles failles de sécurité de son système

Les principaux leviers de piratage - Pour la CNIL, et au regard de l’analyse des diverses violations qui ont été portées à sa connaissance, les modes opératoires des pirates sont souvent les mêmes, s’attaquant toujours aux mêmes failles. Trois éléments principaux ont ainsi été relevés :

- tout d'abord il est récurrent que les attaquants utilisent des informations de connexion compromises (c'est à dire, volées ou consultées par une personne non autorisée),

- par ailleurs, l’attaque en tant que telle passe souvent inaperçue, et ce n’est que lors de la mise en vente des données personnelles que l’entreprise ou l’organisme s’aperçoit de la violation de son système,

- enfin, la présence d’intermédiaires et sous-traitants multiplie les risques d’incidents et de failles dans les systèmes de sécurité.

Les faiblesses facilitant les intrusions - La CNIL rappelle ainsi l'importance de connaître les principales failles qui, dans le processus des pirates, peuvent faciliter leurs intrusions tout comme l’exfiltration de données. On retiendra :

- l’accès aux données de connexion d’un salarié via hameçonnage, logiciel malveillant, vente de données de connexion ou fuite par exemple ;

- l’accès au système d’information via des failles de sécurité dans les pare-feux ou VPN ;

- le partage de données avec des sous-traitants de façon excessive au regard de la finalité du traitement, une conservation trop longue des données, ou encore des utilisateurs trop nombreux à avoir accès à un volume de données trop important ;

- l’activité anormale et l’intrusion non détectées, retardant d’autant la réaction de protection des données ;

- les données mises en vente sans que les entreprises n’aient détecté l’intrusion ou l’exfiltration des informations.

Face à ces risques et ces failles, la CNIL rappelle les mesures préventives qui peuvent être mises en œuvre en interne.

Renforcer les mesures de sécurité

La CNIL avait produit en début 2024 un guide pratique RGPD afin d’aiguiller sur les démarches à entreprendre pour veiller à la protection des données personnelles traitées en interne.

Outre la sensibilisation des collaborateurs et la création d’un service dédié à la sécurité informatique, la CNIL recommande diverses initiatives pour protéger au mieux les données personnelles traitées :

- créer des authentifications à multifacteurs ainsi que des accès nominatifs et individuels ;

- limiter l’accès au réseau à des équipements restreints et authentifiés toute en appliquant les mises à jour sans délais ;

- limiter les habilitations, restreindre et cloisonner les droits d’accès aux données personnelles ;

- accélérer l’analyse de l’activité et mettre en place une analyse en temps réel des flux afin de traiter rapidement les alertes ;

- mettre en place une recherche de fuites de données sur Internet.

Bien qu'il soit primordial de mettre en place des mesures de sécurité et de prévention, la CNIL rappelle que les mesures de sécurité doivent elles aussi respecter le Règlement Général de Protection des Données.

Communiqué de la CNIL du 28 janvier 2025 : "Violations massives de données en 2024 : quels sont les principaux enseignements et mesures à prendre ?".