La CNIL tire le bilan des violations de données massives en 2024
Le RGPD impose la sécurité des données mais de nombreuses violations évitables ont eu lieu en 2024 comme le dénonce la CNIL.
L’actualité de la cybersécurité a été marquée, en 2024, par de très nombreuses fuites de données massives (Viamedis / Almerys, France Travail, SFR, Free…). Or le RGPD impose aux organismes traitant des données personnelles d’en assurer la sécurité. La CNIL, en tant qu’autorité administrative indépendante chargée de veiller à l’application de la réglementation sur les données personnelles, s’est donc penché sur ces fuites de données et a voulu en tirer un bilan. Si ses enquêtes peuvent déboucher sur des sanctions contre les organismes ayant commis des manquements à leurs obligations de sécurité, il s’agit là de faire davantage preuve de pédagogie pour éviter une répétition de telles fuites.
5 629 violations de données ont été notifiées à la CNIL en 2024, soit une croissance de 20 % par rapport à l’année précédente. Or la CNIL constate, par ses enquêtes, qu’il y a des défauts récurrents dans la cybersécurité : « l’analyse des différentes phases des violations révèle qu’une succession de défauts de sécurité courants ont permis à l’attaquant de passer d’une étape à la suivante ». La seule application des bonnes pratiques pourrait donc limiter fortement les fuites. La compromission des identifiants est un grand classique. Les sous-traitants sont également souvent une source de faille. Et la fuite n’est trop souvent absolument pas détectée avant que les données exfiltrées ne soient mises en vente.
En savoir plus
- Sur le site de la CNIL : « Violations massives de données en 2024 : quels sont les principaux enseignements et mesures à prendre ? ».