Violation de données personnelles, un phénomène sous-estimé
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
![Image Une autorité gouvernementale américaine critique la [cybersécurité défaillante de Microsoft]](https://incyber.org//wp-content/uploads/import/post/2022/04/google-critique-la-microsoft-dependance-du-gouvernement-us-885x690.png)
![Image [Fuites de données :] quel bilan après cinq ans de RGPD ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-datacenter-cybersecurite-cybersecurity-885x690.jpg)
![Image Des [failles critiques] identifiées dans ChatGPT et ses plugs-in](https://incyber.org//wp-content/uploads/2024/03/incyber-news-data-corrupted-cybersecurite-cybersecurity-885x690.jpg)
Environ cinq millions de Français ont été concernés par des violations en 2022. C’est l’un des principaux enseignements de la dernière édition du baromètre des fuites de données publiée par inCyber et le FIC. Un niveau d’exposition particulièrement élevé qui serait pourtant minoré selon les experts de la privacy.
Près de 13 fuites de données personnelles par jour. Avec 4 731 violations notifiées à la Cnil l’an dernier, 2022 fait figure de nouvelle année record. Même si le nombre d’incidents connaît un léger fléchissement de 3% en un an, il reste à un niveau particulièrement élevé par rapport à la période pré-covid.
Par extrapolation, ce sont environ cinq millions de Français qui ont été concernés par les violations en 2022, selon le baromètre sur les fuites de données que publie, comme chaque année, inCyber et le FIC. Ces chiffres, issus des données publiées en open data par la Cnil, mettent en évidence l’importance du phénomène.
Les violations déclarées ne seraient toutefois que la partie émergée de l’iceberg selon Pascal Thisse, PDG et fondateur du cabinet de conseil Data Privacy Professionals : « Culturellement, les organisations sont réticentes à notifier leurs violations de données. Sur le principe du ‘pas vu pas pris’, certaines préfèrent ne pas les déclarer pour ne pas être dans le radar de la Cnil. »
La menace extérieure se substitue à la menace intérieure
Le baromètre délivre toutefois de précieux enseignements sur l’origine (interne/externe) et la nature (malveillante/accidentelle) de ces fuites de données. Sans surprise, la menace est avant tout cybercriminelle. Les deux tiers des violations relèvent, en effet, des causes externes et très majoritairement de nature malveillante.
Président de l’AFCDP (Association française des correspondants à la protection des données à caractère personnel), Paul-Olivier Gibert a observé un basculement d’une menace intérieure vers une menace extérieure : « Par le passé, les fuites de données avaient surtout une origine interne. Classiquement, un collaborateur en conflit avec son employeur souhaite se venger. Aujourd’hui, les violations proviennent avant tout de cybercriminels motivés par l’appât du gain. Ils mènent des campagnes massives avec une part d’aléatoire comme pour les spams. »
S’il ne nie pas l’accroissement de la cybermenace ces dernières années, Pascal Thisse met en évidence une surexposition du phénomène : « Les entreprises vont plus naturellement déclarer les fuites externes d’origine malveillante. Elles se posent ainsi en victimes d’un fléau qui concerne potentiellement toutes les organisations. »
A l’inverse, l’expert suppute une minoration des violations d’origine interne et accidentelle, celles-ci remettant en cause l’efficacité des procédures internes. Elles posent aussi un problème de formation et de sensibilisation des utilisateurs : « L’envoi d’un mail groupé en copie visible à une centaine de destinataires constitue une violation de donnée. Qui le sait ? »
En ce qui concerne les principaux secteurs d’activité touchés, nos experts notent une autre sous-représentation : celle des acteurs publics qui arrivent loin derrière les entreprises de services, les acteurs de la bancassurance, les professionnels de l’immobilier ou les cabinets juridiques, comptables ou d’architecture. Pour Paul-Olivier Gibert, « il y a un décalage entre la médiatisation de certaines cyberattaques et les données officielles ».
Entre les centres hospitaliers de Versailles et de Corbeil-Essonnes, l’Ehpad de Beuzeville, les mairies de Brunoy et de Chaville ou les conseils départementaux de Seine-et-Marne et des Alpes-Maritimes, la liste des établissements de santé et des collectivités récemment victimes de ransomwares est longue. Ces acteurs publics présentent le double « avantage » de manipuler des données sensibles tout en présentant des systèmes de défense relativement vulnérables.
La double peine des attaques par ransomware
En revanche, une tendance forte en termes de genre d’atteinte traduit bien l’accroissement de la menace par rançongiciel. Dans 91,6% des cas, les violations entraînent une perte de confidentialité, contre 78% en 2021. A l’inverse, la perte de disponibilité des données et la remise en cause de leur intégrité sont en baisse. Elles ne concernent que respectivement 5,7% et 2,6% des notifications. Cette baisse de l’indisponibilité des données doit être mise à l’actif des entreprises qui semblent avoir renforcé leurs plans de de continuité et de reprise d’activité (PCA/PRA). Ils s’appuient, comme le préconisent les assureurs cyber, sur des sauvegardes déconnectées, externalisées et régulièrement testées.
En revanche, les nouvelles attaques par ransomware remettent gravement en cause la confidentialité des données. Le « modèle économique » du rançongiciel a évolué depuis trois ans, confirme Pascal Thisse : « Au début, le chiffrement des serveurs et des PC rendait « juste » les données indisponibles. Aujourd’hui, l’attaque se double d’une exfiltration les données avec la menace de leur divulgation en cas de non-paiement. »
Le consultant observe aussi qu’avant d’infiltrer un système d’information, un cybercriminel s’informera des conditions de couverture de l’assurance cyber afin d’ajuster en conséquence le montant de la rançon.
Les nominations de DPO en hausse de 35% sur un an
Si les cybercriminels se « professionnalisent », les organisations gagnent, elles, en maturité. Le nombre de nominations de DPO a augmenté de 35% en un an. « En retard, des acteurs publics régularisent leur situation tandis que des entreprises ont pu voir un intérêt d’avoir un DPO », estime Paul-Olivier Gibert.
Avec 17 432 personnes nommées à cette fonction-clé, on serait toutefois loin du compte selon Pascal Thisse, qui chiffre à environ 70 000 le nombre d’entreprises privées et publiques dans l’obligation de nommer un DPO : « Bien sûr, un certain nombre de DPO sont mutualisés mais cela voudrait dire qu’un DPO représente en moyenne quatre responsables de traitement. Cela ne reflète pas ce qu’on observe sur le terrain. »
Pour Isabelle Roccia, Managing director Europe de l’IAPP (International Association of Privacy Professionals), le besoin en spécialistes en data privacy, dans le sens large, est encore plus criant : « Selon les estimations, il manquera entre 1,5 à 2 millions de professionnels du respect de la vie privée d’ici cinq à dix ans, des juristes mais aussi des informaticiens ou des ingénieurs. »
Elle déplore par ailleurs que les équipes privacy et cybersécurité soient le plus souvent séparées en entreprise : « Si la confidentialité des données personnelles n’implique pas uniquement des éléments de sécurité, les deux équipes ont beaucoup de sujets en commun. L’intégration du principe du respect de la vie privée dans les nouvelles technologies d’intelligence artificielle en est la parfaite illustration. »
Approuvée en novembre 2022, la directive européenne NIS 2, qui élargit ses objectifs et son périmètre d’applicabilité à de nombreuses entreprises et administrations devrait toutefois, à ses yeux, accélérer la maturation des organisations.