En 2024, la France a connu une augmentation inédite des violations de données personnelles, touchant de nombreux citoyens et fragilisant de multiples entreprises. Les cyberattaques, de plus en plus sophistiquées, sont l’une des causes de ces violations. Celles-ci visent tant les grandes entreprises que les TPE et PME, disposant souvent de moyens de protection limités. 

Face à cette accentuation des menaces, la Commission nationale de l’informatique et des libertés (CNIL) met en garde les entreprises et les informe sur les méthodes des attaquants ainsi que sur les dispositifs de protection adéquats. 

Une explosion des violations de données en 2024

En 2024, 5629 violations de données ont été notifiées à la CNIL, soit une augmentation de 20% par rapport à l’année précédente. Plus alarmant encore, le nombre d’incidents affectant plus d’un million de personnes a doublé en un an. Parmi les entités les plus touchées figurent des acteurs majeurs comme France Travail, Free et des opérateurs de tiers payant.

Il est à noter que ce phénomène ne concerne pas uniquement les grandes entreprises. Les TPE et PME, souvent moins bien protégées, sont également des cibles de choix pour les cybercriminels. En raison d’une cybersécurité souvent insuffisante, ces structures sont particulièrement vulnérables aux ransomwares, aux attaques par hameçonnage et aux intrusions via des sous-traitants. Pourtant, ces entreprises disposent rarement des ressources nécessaires pour faire face à une cyberattaque, ce qui peut avoir des conséquences dramatiques, allant de la perte de données critiques à la faillite pure et simple.

Cet article pourrait vous intéresser : Sanctions CNIL 2024 : les TPE/PME de plus en plus contrôlées

Des failles de sécurité récurrentes exploitées par les cybercriminels 

La majorité des attaques sont similaires et exploitent souvent les mêmes vulnérabilités : 

• Des identifiants de connexion compromis
• Une absence de détection proactive des intrusions, permettant aux cybercriminels d’accéder aux systèmes pendant des mois sans être repérés.
• Une sécurisation insuffisante des sous-traitants, qui deviennent des portes d’entrée privilégiées pour attaquer des entreprises plus grandes.

Il existe plusieurs causes fréquentes de ces incidents : 

• utilisation de comptes de connexion génériques ou partagés 
• communication de données en cas d’hameçonnage 
• installation d’un logiciel malveillant sur l’ordinateur d’une personne afin de voler ses données de connexion 
• vente des données de connexion 
• fuite de données de connexion sur le marché noir

La CNIL n’est pas restée indifférente.

La réponse de la CNIL : une cybersécurité renforcée 

Face à cette situation critique, la CNIL a intégré la cybersécurité parmi les axes prioritaires de son plan stratégique 2025 – 2028. Les principales mesures qu’elle souhaite mettre en oeuvre sont : 

• l’accompagnement des entreprises, en publiant des recommandations adaptées à l’évolution des menaces 
• des contrôles de la mise en oeuvre des mesures de sécurité par les structures
• la sensibilisation des particuliers et professionnels à la cybersécurité pour les rendre acteurs de leur propre protection 

Cet article pourrait aussi vous intéresser : La CNIL publie son plan stratégique pour 2025 – 2028

Par ailleurs, la CNIL travaille en étroite collaboration avec des acteurs de la cybersécurité comme l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et cybermalveillance.gouv.fr pour améliorer la coordination et proposer des solutions adaptées à toutes les structures, y compris les TPE et PME. 

Les conseils de la CNIL 

Pour renforcer la protection des données et limiter les risques de cyberattaques, la CNIL préconise plusieurs mesures essentielles. Elle recommande notamment : 

• de généraliser l’authentification multifacteur, en particulier pour les accès à distance, et d’instaurer des comptes nominatifs individuels pour renforcer la traçabilité
• de contrôler l’accès au réseau en restreignant son utilisation aux seuls équipements authentifiés, y compris via un VPN
• de mettre en oeuvre une politique d’habilitation rigoureuse, attribuant des droits d’accès limités aux besoins spécifiques des utilisateurs
• de surveiller les flux réseaux et d’analyser en temps réel les journaux 
• de se doter d’une capacité opérationnelle permettant de traiter efficacement les alertes de sécurité.
• de mettre en place une veille proactive afin de détecter d’éventuelles fuites de données sur internet, dans le respect du RGPD et du code pénal.

En ce qui concerne les grandes bases de données, la CNIL souligne qu’elles nécessitent des mesures de sécurité plus strictes. Il est ainsi essentiel de renforcer la protection « périmétrique » visant à bloquer les menaces extérieures tout en déployant également une défense en profondeur afin de détecter et stopper les attaques qui ont déjà infiltré le système.

Pour en savoir plus, vous pouvez consulter le guide de la sécurité des données personnelles de la CNIL et le guide de l’ANSSI en cybersécurité pour les TPE/PME. 

L’année 2024 a donc révélé des lacunes majeures des entreprises françaises face aux cyberattaques, y compris les plus petites structures. Pour éviter une aggravation en 2025, il est impératif que toutes les organisations, quelle que soit leur taille, prennent conscience des enjeux et investissent dans une sécurité renforcée. La cybersécurité n’est plus une option, mais une nécessité absolue pour garantir la protection des données personnelles et la pérennité des entreprises.