La CNIL a noté une importante augmentation des notifications de violations de données personnelles, liée à « une très forte hausse des cyberattaques », en particulier des attaques par rançongiciel, dans son rapport annuel 2022.
Une hausse de 79% des cyberattaques
Dans son rapport annuel récemment publié, la CNIL a noté une augmentation de 79 % des notifications de violations de données personnelles, liée à une forte hausse des cyberattaques, en particulier des attaques par rançongiciel. Ce logiciel malveillant bloque l’accès aux ordinateurs en chiffrant leur contenu en demandant le paiement d’une rançon en échange du déchiffrement.
Dans ce même rapport, la Cnil fait part également de l’augmentation des plaintes reçues pour surveillance au travail. Un employeur « ne peut pas obliger » son salarié en télétravail « à avoir sa caméra allumée toute la journée », a expliqué Marie-Laure Denis, présidente de la CNIL.
Quelles entreprises sont visées par des cyberattaques ?
Plus de la moitié des notifications pour violations de données personnelles concernent des micro-entreprises. « Moins préparées que les grandes entreprises face à cette menace, elles constituent des cibles privilégiées pour les acteurs malveillants », note la CNIL.
25% des notifications pour des attaques par rançongiciel en 2021 concernaient le secteur de la santé et de l’action sociale. Il y a un réel « sous-investissement chronique en dépense de sécurité informatique » dans les établissements de santé, dénonçait un rapport du Sénat d’avril 2020. « Aujourd’hui, dans un hôpital, quand on a de l’argent, on va privilégier l’achat d’un nouveau scanner plutôt que d’investir dans la cybersécurité », a déclaré à Franceinfo Bertrand Pailhès, directeur des technologies et de l’innovation de la CNIL.
Se protéger contre les cyberattaques
D’après un rapport de 2021 de l’entreprise américaine Verizon, spécialistes en matière de télécommunications, le vol d’identifiants est à l’origine de 61% des « compromissions de données ». La CNIL estime que la sécurisation des données personnelles par un mot de passe est « généralement acceptable », mais que d’autres moyens comme l’authentification à double facteur (via un code envoyé sur le téléphone par exemple) « offrent davantage de sécurité ».
Guillaume Poupard, directeur général de l’Anssi, agence chargée de la sécurité informatique, appelle dans le rapport de la CNIL les entreprises et les administrations à faire des mises à jour et des sauvegardes ainsi qu’à contrôler les accès aux données sensibles. « Ce travail d’identification et de sécurisation est d’ailleurs demandé par le RGPD », le règlement européen sur la protection des données, ajoute-t-il. Être conforme au RGPD est « souvent synonyme d’un bon niveau de cybersécurité », conclut-il.
Deshoulières Avocats vous conseille en droit des données personnelles, notamment en cas de cyberattaque.
Source :