Free, Auchan, Molotov TV… Les fuites de données de grande ampleur en hausse, un phénomène confirmé par des bilans chiffrés de l’Agence nationale de la sécurité des systèmes d’information (Anssi) et de la Commission nationale informatique et libertés (Cnil).
“En 2024, nous avons enregistré 56 29 notifications de violations de données, c’est 20% de plus qu’en 2023, peut-être parce que cette obligation de notification est plus connue, mais aussi parce que les violations des données à caractère personnel ont augmenté“, a détaillé Marie-Laure Denis, présidente de la Cnil, interrogée par l’AFP lundi. “Pour nous, la tendance la plus préoccupante concerne l’augmentation des violations de très grande ampleur”, a-t-elle également indiqué.
Selon la Cnil, qui reçoit l’ensemble des notifications, le nombre de violations de données touchant plus d’un million de personnes a doublé en un an, passant d’une vingtaine en 2023 à une quarantaine en 2024. L’Anssi, chargée des incidents affectant la sécurité des systèmes d’information des autorités publiques et des opérateurs régulés, a quant à elle décompté ces deux dernières années 236 incidents de cybersécurité liés à des violations de données personnelles, a indiqué son directeur général Vincent Strubel. “Cela donne l’impression d’une explosion mais ce n’est pas quelque chose qui se vérifie dans les faits”, appuie M. Strubel. 72 sont la conséquence d’une compromission et d’un chiffrement par rançongiciel.
L’action croissante de groupes criminels organisés
L’agence étatique a relevé 121 fuites de données concernant ces grandes entités en 2023 et 115 en 2024. Des chiffres toutefois supérieurs aux années précédentes. Entre 2021 et 2022, l’Anssi fait état de 118 violations de données. Pour Vincent Strubel, l’évolution de ces attaques repose largement sur “la typologie d’attaquants“, avec l’action croissante de groupes criminels organisés. “Il y a une très grande diversité d’acteurs, y compris des gens qui sont des parfaits amateurs, qui sont parfois des Français, parfois des étrangers”,
poursuit-il.Le CERT-FR constate d’ailleurs que ces fuites de données peuvent être revendiquées, de façon avérée ou non, et être republiées parfois plusieurs mois après l’incident et par plusieurs acteurs cybercriminels ou hacktivistes. Afin de lutter contre ce phénomène, l’ANSSI poursuit son action proactive avec l’accompagnement de ses bénéficiaires et des sensibilisations réalisées par ses représentants territoriaux et sectoriels.
Prévenir les risques de violation
Par la voix de sa présidente, la Cnil a indiqué qu’elle devrait “accroître les contrôles sur la sécurité” des grandes bases de données, “en précisant un certain nombre de mesures adéquates pour prévenir les risques de violation“. Les incidents traités par le CERT-FR ont mis en exergue de leur côté “des insuffisances de protection dans la manière de traiter et d’accéder aux données, et ce dès la conception des projets.”
L’ANSSI communique des recommandations à destination des RSSI / DSI pour se protéger des fuites de données, rassemblées dans un document court « Les Essentiels – Se protéger des fuites de données ».
Juliette Paoli avec AFP
