Cybersécurité : la Cnil alerte sur les violations de données "de très grande ampleur" qui ont doublé en un an

Les violations de données personnelles notifiées à la Cnil ont augmenté de 20% entre 2023 et 2024, atteignant 5 629 violations l'an dernier, dévoile mardi 29 avril la Commission nationale de l'informatique et des libertés dans son nouveau rapport annuel, consulté par l'agence Radio France. "Au-delà de cet accroissement notable, la tendance la plus préoccupante est celle d'une recrudescence des violations de très grande ampleur", précise l'organisme.

Le nombre de violations touchant plus d'un million de personnes a ainsi doublé en un an, passant d'une vingtaine à une quarantaine d'attaques réussies. Une tendance qui se poursuit de manière accélérée sur le premier trimestre 2025, ajoute la Cnil qui souligne que tous les secteurs d'activités, privés et publics, sont concernés et donne l'exemple de France Travail, Free, Auchan, Truffaut, Cultura, ou encore Boulanger, ciblés en 2024.

Selon les informations fournies à la Cnil par les organismes à la suite d'une violation de données, ou obtenues à l'occasion d'un contrôle, les modes opératoires des attaquants sont souvent similaires et exploitent régulièrement les mêmes failles. La Cnil en identifie trois : les informations de connexion utilisées pour l'attaque avaient été compromises ; les intrusions et exfiltrations n'ont pas été détectées par l'organisme avant la mise en vente des jeux de données ; une part significative des incidents impliquait un sous-traitant.

Pour Marie-Laure Denis, présidente de la Cnil, les grandes bases de données "ne sont pas assez protégées". Elle parle de "manquements" et assure que "la question n'est pas de savoir s'il va y avoir une attaque cyber mais quand". La présidente pointe notamment du doigt le télétravail "dont on n'a pas tiré toutes les conséquences depuis la pandémie", notamment "en matière de vulnérabilité des accès à distance". En effet, parmi les 5 629 violations notifiées l'année dernière, 55% sont dues aux attaques informatiques (rançongiciels, hameçonnage) et 20% sont le fait d'erreurs humaines internes.

Double authentification, mises à jour régulières et sensibilisation

Pour faire face à ce phénomène, la Cnil va publier une recommandation cette semaine pour exiger la double authentification à partir de 2026 : "Les salariés, les partenaires, les sous-traitants qui se connectent à distance à une très grosse base de données, de plusieurs millions de personnes, devront être obligés de fournir un facteur d'identité supplémentaire, au-delà du mot de passe". Selon la Cnil, cette mesure "couplée à des outils qui permettent de tracer les accès", ou encore à des outils "qui permettent de détecter les extractions massives de données", le tout ajouté à "la sensibilisation des salariés aux risques cyber", "aurait permis d'éviter 80% des très grosses violations de données que la Cnil a constatées".

La Cnil a donc fait de la cybersécurité un des axes de son plan stratégique 2025-2028. Selon la Commission, "se protéger contre les violations de données nécessite d'adopter des mesures adaptées aux risques". Il faut par exemple "effectuer les mises à jour sans tarder, afin d'éviter l'exploitation d'une faille de sécurité". Il faut également "adopter des mots de passe suffisamment robustes, différents pour chaque compte", "réaliser une sensibilisation périodique des utilisateurs", "protéger les accès à la messagerie pour qu'elle ne serve pas de point d'entrée d'une attaque", ou encore "effectuer des sauvegardes régulières".