Derrière les nombreux signalements à la Cnil, une recrudescence des cyberattaques

Sans grande surprise, le nombre de personnes touchées par des fuites de données personnelles explosent. Plus de 5 millions de personnes en 2021, contre plus d'1 million de personnes au premier semestre 2020, selon le baromètre "Data Breach" publié le 8 juin par le cabinet de conseil et d'audit PwC et le courtier en assurances Bessé. « Tous les secteurs sont impactés, public comme privé, et ce, quelle que soit la taille des structures. On trouve aussi bien des artisans, des restaurants que des très grands groupes », commente Christophe Madec, expert cyber au sein de Bessé. La Commission nationale informatique et libertés (Cnil) a reçu en 2021 5000 notifications de violations de données personnelles (+75%), soit 20 en moyenne par jour ouvré. « Ces chiffres montrent une forte recrudescence des attaques cyber depuis trois ans, mais aussi une meilleure compréhension des entreprises et un réflexe plus poussé de leur part de faire des déclarations à la Cnil », analyse Christophe Madec.

Un fort pouvoir de sanction de la Cnil

Depuis l'entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai 2018, les entreprises qui traitent des données personnelles ont l'obligation de prévenir la Cnil lorsqu'elles subissent une violation. Elles disposent de 72 heures pour notifier l'incident sur le site de la Cnil. Si elles ne se plient pas à cette contrainte réglementaire, le risque financier est réel. Elles s'exposent à des amendes, qui peuvent dans certains cas s'élever à plusieurs millions d'euros. Si le délai de 72 heures est dépassé, l'entreprise va devoir expliquer, lors de sa notification, les motifs du retard. « C'est à l'entreprise d'apporter la preuve qu'elle est en conformité. La Cnil a un pouvoir de sanction plus important que par le passé, et mène des investigations quand il y a une négligence dans la sécurisation des données. Avant de sanctionner, le gendarme français des données personnelles va toutefois alerter les personnes concernées », prévient Christophe Madec.

Un sujet de gouvernance

Les actes de malveillances restent la première cause de violations avec l'exploitation d'une faille de sécurité d'un système d'information. Plus de 2400 fuites sont en lien avec des attaques par ransomware, selon le baromètre. « Nous avons identifié 900 actes de malveillances internes, ce qui est assez significatif. On peut imaginer de la négligence, de la malveillance avec le souhait pour un collaborateur de nuire à son entreprise », concède l'expert. Le coût moyen d'une fuite de données augmente également. Il est passé de 3,86 millions de dollars en 2020 à 4,24 millions de dollars en 2021.
Pour s'en prémunir, il faut notamment identifier les informations et les serveurs les plus sensibles, authentifier et contrôler les accès, mais aussi porter l'effort sur la mise en place de solutions préventives et la sensibilisation des salariés. « Les directions financières doivent être réceptives aux messages passés par les DSI. La sécurité informatique est un sujet de gouvernance », concède Christophe Madec.