La Commission Nationale de l’Informatique et des Libertés continue d’alerter l’ensemble des organisations face à la multiplication des violations de données
Selon l’organisation chargée de veiller à l’application du règlement général européen pour la protection des données la RGPD, près de 5 000 notifications de violation de données personnelles ont été émises durant l’année 2021.
La Commission Nationale de l’Informatique et des Libertés parle d’une augmentation de près de 75 %, selon un baromètre établi par le cabinet de conseil et d’audit PwC Bessé (par ailleurs courtier en assurance).
Cet article va aussi vous intéresser : La majorité des organisations ont déjà été victimes d’une violation de données dû à une erreur d’un collaborateur
Plusieurs chiffres ont permis de montrer que non seulement les attaques sont en train d’augmenter, mais aussi que les entreprises commencent à prendre de plus en plus conscience de l’importance de faire respecter les prescriptions protégées par la CNIL. Effectivement ces entreprises acceptent dorénavant de faire des déclarations à la CNIL chose qui était quasi impossible il y a quelques années de cela.
On regarde la multiplication des attaques informatiques, il est presque normal de constater aussi que les violations des données sont en train de prendre un volume inquiétant. Au premier trimestre de l’année 2021 c’était près de 5 millions de personnes qui ont été affectées. Au premier semestre de l’année 2020, on a fait face à près d’un million de personnes victimes. Soit une au spectaculaire de plus de 200 %.
En lisant le rapport « Data Breach », fourni par le cabinet de conseil et d’audit Bessé, on peut lire : « Tous les secteurs sont impactés, public comme privé, et ce, quelle que soit la taille des structures. On trouve aussi bien des artisans, des restaurants que des très grands groupes », selon Christophe Madec, un expert en cybersécurité au sein de Bessé.
En 2021, les 5 000 notifications reçues par la Commission nationale de l’Informatique et de liberté constituent une hausse de 75 % des signalements par rapport à l’année 2020, est une réalité qu’il faut appréhender avec sérieux. Comme le précise Christophe Madec : « Ces chiffres montrent une forte recrudescence des attaques cyber depuis trois ans, mais aussi une meilleure compréhension des entreprises et un réflexe plus poussé de leur part de faire des déclarations à la CNIL ».
Depuis mai 2018, avec l’entrée en vigueur du Règlement Général sur la Protection des Données Personnelles, toutes les organisations sont obligées de faire un signalement à la Commission Nationale de L’informatique et des Libertés à chaque fois qu’elles sont victimes d’une violation des données personnelles. Pour se faire, il leur a été imposé 72 heures pour exécuter cette obligation via le site de l’organisme public. Dans la condition où ces entreprises refusent de se plier à cette exigence réglementaire, l’autorité administrative indépendante peut leur imposer des sanctions financières. On parle d’amendes qui peuvent s’évaluer à hauteur de plusieurs millions d’euros.
Dans le cas où la société est en retard pour la déclaration au-delà de 72 heures, elle a l’obligation de justifier sur retard à travers sa déclaration via le site de la CNIL. « C’est à l’entreprise d’apporter la preuve qu’elle est en conformité. La Cnil a un pouvoir de sanction plus important que par le passé, et mène des investigations quand il y a une négligence dans la sécurisation des données. Avant de sanctionner, le gendarme français des données personnelles va toutefois alerter les personnes concernées », note Christophe Madec.
De manière pratique, la première cause de violation des données réside dans les actes de piratage informatique. En particulier dans l’exploitation de failles de sécurité présentes dans les systèmes informatiques des organisations. Juste à côté il y a les attaques basées sur les ransomwares. On parle de près de 2 400 fuites liées au rançongiciel cela le rapport fourni par Bessé.
« Nous avons identifié 900 actes de malveillances internes, ce qui est assez significatif. On peut imaginer de la négligence, de la malveillance avec le souhait pour un collaborateur de nuire à son entreprise », reconnaît Christophe Madec
Aujourd’hui, les conséquences financières liées aux fuites de données connaissent aussi une hausse. Effectivement on parle de près de 3,86 millions de dollars en 2020 contre 4,24 millions de dollars en 2021.
« Pour s’en prémunir, il faut notamment identifier les informations et les serveurs les plus sensibles, authentifier et contrôler les accès, mais aussi porter l’effort sur la mise en place de solutions préventives et la sensibilisation des salariés. Les directions financières doivent être réceptives aux messages passés par les DSI. La sécurité informatique est un sujet de gouvernance », conclut Christophe Madec.
Accédez maintenant à un nombre illimité de mot de passe :