La CNIL tire le bilan des violations de données massives en 2024

L’actualité de la cybersécurité a été marquée, en 2024, par de très nombreuses fuites de données massives (Viamedis / Almerys, France Travail, SFR, Free…). Or le RGPD impose aux organismes traitant des données personnelles d’en assurer la sécurité. La CNIL, en tant qu’autorité administrative indépendante chargée de veiller à l’application de la réglementation sur les données personnelles, s’est donc penché sur ces fuites de données et a voulu en tirer un bilan. Si ses enquêtes peuvent déboucher sur des sanctions contre les organismes ayant commis des manquements à leurs obligations de sécurité, il s’agit là de faire davantage preuve de pédagogie pour éviter une répétition de telles fuites.

5 629 violations de données ont été notifiées à la CNIL en 2024, soit une croissance de 20 % par rapport à l’année précédente. Or la CNIL constate, par ses enquêtes, qu’il y a des défauts récurrents dans la cybersécurité : « l’analyse des différentes phases des violations révèle qu’une succession de défauts de sécurité courants ont permis à l’attaquant de passer d’une étape à la suivante ». La seule application des bonnes pratiques pourrait donc limiter fortement les fuites. La compromission des identifiants est un grand classique. Les sous-traitants sont également souvent une source de faille. Et la fuite n’est trop souvent absolument pas détectée avant que les données exfiltrées ne soient mises en vente.

En savoir plus

- Sur le site de la CNIL : « Violations massives de données en 2024 : quels sont les principaux enseignements et mesures à prendre ? ».