2020, une année record pour les fuites de données
![Image Une vulnérabilité identifiée dans la [billetterie du PSG]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-breach-faille-2024-885x690.jpg)
![Image Un forum russophone sur Kaspersky victime d’un [vol de données]](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-ransomware-ranconlogiciel-885x690.jpg)
Les fuites de données ont connu une hausse sans précédent en 2020. C’est ce que révèle le nouveau Baromètre “Data Breach”. Celui-ci a été dévoilé au cours d’un petit-déjeuner thématique animé par le Forum International de la Cybersécurité en partenariat avec le cabinet de conseil et d’audit PwC France et Maghreb, le courtier en assurances Bessé et avec la participation de la CNIL.
Évolution des cyberattaques en France, mesures à adopter pour se prémunir d’une fuite de données… Voici une synthèse des enseignements rapportés par cette étude.
Panorama des fuites de données en France
Plus d’un million de Français ont été touchés par une violation de leurs données personnelles au premier semestre 2020. Un chiffre jamais atteint jusqu’à aujourd’hui. Alors qu’en 2018, environ 4,5 vols de données étaient commis chaque jour, ce chiffre est passé à 7 par jour en 2020.
Plusieurs facteurs expliquent cette hausse, à commencer par la professionnalisation croissante de la cybercriminalité. La transformation numérique de notre société décuple par ailleurs les risques potentiels de fuite de données. À cela s’ajoute un élément positif, la prise de conscience des organisations qui notifient davantage la CNIL en cas de fuite de données.
Sans surprise, les secteurs les plus touchés sont ceux qui détiennent ou traitent les données les plus sensibles. Les administrations publiques ont ainsi subi le plus de fuites de données en 2020, suivies par les sciences et techniques (centres de recherche, laboratoires, universités…), les banques et assurances et le monde de la santé.
Si 52% des fuites de données restent dues à un acte malveillant, qu’il s’agisse d’un vol physique ou d’une cyberattaque, 33% des incidents ont une origine accidentelle : erreur de manipulation, de configuration. Un pourcentage en progression de 7% depuis 2018.
Parmi les actes malveillants ayant occasionné des fuites de données recensées en 2020, il est important de noter que les attaques par rançongiciel ont fortement augmenté. Non contentes de chiffrer les données sensibles des organisations pour les “prendre en otage”, celles-ci menacent aussi parfois de publier les données des organisations victimes pour accentuer la pression. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a ainsi noté une hausse de +92% de ses interventions pour des attaques en rançongiciel.
Outre les grands groupes, les collectivités, PME et ETI ont été particulièrement ciblées par ce type d’attaque, avec des impacts lourds en termes d’image mais aussi de pertes d’exploitation. C’est parfois la survie même de ces organisations qui est en jeu.
Aujourd’hui, la question n’est donc plus de savoir si l’on va être un jour victime d’une fuite de données, mais quand est-ce que cette fuite aura lieu. “La professionnalisation du monde cybercriminel fait qu’aujourd’hui, tout le monde peut être touché. Tous les secteurs et toutes les tailles d’organisation sont concernés”, explique Gaston Gautreneau, Expert au sein du service de l’expertise technologique de la CNIL.
Protection des données : une prise de conscience collective
Instauré au mois de mai 2018 pour renforcer le cadre législatif, le Règlement général sur la protection des données (RGPD) a octroyé de nouveaux droits aux citoyens, aux utilisateurs et aux clients des solutions numériques. Elle a aussi forcé les entreprises à prendre en compte les enjeux de protection des données.
Trois ans après sa mise en application, Bertrand Pailhès, Directeur de la direction des technologies et de l’innovation à la CNIL, en dresse un bilan positif : “Le RGPD a entraîné une mise en conformité massive. De fait, nous avons observé une hausse conséquente de l’investissement dans la protection des données de la part des organisations. Par ailleurs, le RGPD est devenu un standard mondial, qui inspire aujourd’hui de nombreux territoires, à l’instar de l’Inde et de la Californie”.
La crise sanitaire et la démocratisation du travail à distance ont renforcé cette tendance. Ainsi, le nombre de DPO (Data Protection Officer) est passé de 11 000 en 2019 à 21 000 en 2020 dans l’Hexagone.
Comment se protéger des fuites de données ?
Sandrine Cullaffroz-Jover, avocate en Droit des activités numériques et associée chez PwC Société d’Avocats, propose plusieurs mesures à adopter pour se protéger des fuites de données :
1. Réaliser une AIPD (Analyse d’Impact relative à la Protection des Données) :
Cette analyse a pour but de détailler la façon dont les données sont traitées au sein de l’organisation, d’évaluer les risques et d’étudier les conséquences d’une fuite sur la vie privée des utilisateurs. Elle permet in fine de mieux se préparer aux cyberattaques.
2. Sensibiliser :
“Les attaques sont souvent facilitées par un facteur humain, qui ne résulte pas forcément d’une malveillance”, explique Sandrine Cullaffroz-Jover. Il est donc important de sensibiliser l’ensemble des utilisateurs pour que ceux-ci adoptent les bons réflexes et n’ouvrent pas malgré eux une brèche dans le système d’information (SI) de l’organisation.
3. Prendre les mesures techniques adéquates :
Un certain nombre de mesures peuvent être prises pour protéger un organisme d’une fuite de données, à l’instar du chiffrement des données sensibles. Il est bien entendu vital d’effectuer des sauvegardes régulières pour ne pas être paralysé en cas d’attaque.
“La minimisation des données est une autre mesure de base à mettre en place. Celle-ci consiste à ne pas conserver les données obsolètes et celles que l’on n’utilise plus. Par ailleurs, il est important de segmenter le réseau”, précise Gaston Gautreneau.
4. Adopter les mesures juridiques nécessaires :
La mise en conformité règlementaire est un point essentiel dans la prévention des fuites de données. Tout comme le fait de nommer un DPO, ou de bien sécuriser les relations contractuelles avec les tiers.
5. Établir des procédures de gestion de crise :
Pour être réellement prêt à faire face à une fuite de données, il est impératif d’avoir pensé une procédure de gestion de crise. Celle-ci doit être mise à l’épreuve par des tests de pénétration de système et des simulations d’attaque. Des tests permettront de fluidifier la procédure, mais aussi de créer des automatismes pour traiter efficacement la crise.
6. Contracter une assurance cyber :
“Les contrats d’assurance cyber sont construits autour d’une trame commune qui englobe trois sujets : l’assistance pour bénéficier de renforts en cas de crise, la couverture des pertes d’exploitation et la responsabilité civile” explique Christophe Madec, Chargé de clientèle et expert cyber chez Bessé.
“À l’heure actuelle, 87% des grandes entreprises ont souscrit à une assurance cyber… contre seulement 8% des ETI” précise t-il.
Le témoignage d’une victime : la ville de Marseille
Rares sont les victimes de fuites de données à bien vouloir témoigner publiquement. Nicole Jamgotchian, DPO de la ville de Marseille, a accepté de revenir sur l’attaque par rançongiciel que la ville a subi le vendredi 13 mars 2020, veille du 1er tour des élections municipales.
Le SI de la ville de Marseille est très conséquent : il représente 1 300 serveurs, 450 applications et 270 sites interconnectés… pour une population de 800 000 habitants. “Les administrateurs de base se sont rendus compte très rapidement du chiffrement de certaines applications. Le premier réflexe a été d’arrêter l’ensemble du système informatique en débranchant les serveurs”, explique Nicole Jamgotchian.
Malgré ces mesures, 90% des serveurs et 4 700 machines ont été touchés. Les sauvegardes ayant pu être préservées, les données ont heureusement pu être très rapidement remontées dans les différentes applications. La coordination des acteurs internes et externes (prestataires, services de police et judiciaires, CNIL…) a été un élément clé pour surmonter cette crise.
Riche en enseignements, cette nouvelle édition du Baromètre Data Breach a permis de prendre la mesure de la progression des cyberattaques en France. Les intervenants du petit-déjeuner thématique ont partagé leurs connaissances et leur expérience pour sensibiliser les organisations aux bonnes pratiques à adopter. Ce sujet sera plus largement abordé dans le cadre du FIC qui se tiendra les mardi 7, mercredi 8 et jeudi 9 septembre 2021 à Lille Grand Palais.