Free, SFR, France Travail, Viamédis et Amerys, Boulanger, Cultura, SFR, Truffaut, Grosbill, la Caisse d’Allocations familiales (CAF)… Quelle société ou entité publique n’a pas encore subi une cyberattaque ? Dans son rapport annuel publié mardi dernier (29 avril), la CNIL, l’autorité en charge de défendre notre vie privée, s’inquiète de la hausse des violations des données personnelles. Ces dernières ont augmenté de 20 % entre 2023 et 2024, avec, en prime, une recrudescence des fuites de très grande ampleur.
Pour que les grandes bases de données soient davantage protégées, le gendarme des données personnelles a publié dans la foulée une série de recommandations. Dès 2026, la double authentification sera exigée pour les très grosses bases de données – celles qui concernent au moins deux millions de personnes. Concrètement, le mot de passe ne sera plus suffisant.
À lire aussi : Les fuites de données s’enchainent en France, mais la CNIL a une solution
Pour 01net.com, Romain Perray, avocat associé responsable du département Tech & Data du cabinet McDermott Will & Emery, est revenu sur ce rapport annuel des violations de données de la CNIL. Pour le spécialiste des questions numériques et cyber, le bilan dressé par la CNIL est loin d’être surprenant.
À lire aussi : Cyberattaques en France : les dernières fuites de données et entreprises touchées
Un nombre d’attaques en augmentation, et les sous-traitants en ligne de mire
« Depuis la pandémie, les choses se sont accélérées. Auparavant, nous avions certes des violations de données personnelles, mais pas de manière aussi massive », estime-t-il. Des services publics, notamment de santé, ont été attaqués. Mais au lieu de cibler une seule et même organisation, ce sont ensuite des sous-traitants qui ont été visés. « En attaquant un prestataire, on touche plusieurs entités » souligne Maître Perray, à l’image « du scandale SolarWinds qui a eu lieu aux États-Unis » en 2020.
L’année dernière en France, ce sont Viamedis, une société française spécialisée dans la gestion des prestations de santé complémentaires, et Almerys, son concurrent, qui ont été la cible de cyberattaques. Au total, près de 33 millions de Français ont été touchés. En 2023, ce sont près de 17 772 plaintes qui ont été enregistrées, soit 8 % de plus qu’en 2023. Et la tendance persiste, avec déjà 2 500 violations de données en France au cours du premier trimestre de 2025.
Comment expliquer ces chiffres ? Pour beaucoup encore, « les questions de sécurité informatique, restent un petit peu abscon », avance celui qui est aussi chargé d’enseignement au sein des Universités de Paris I, Paris II et Paris V. « Tant qu’on ne voit pas le vol en tant que tel, comme si on rentrait chez vous par effraction et que vous voyez que quelqu’un a fouillé vos affaires, tant que cela ne vous arrive pas finalement, vous avez du mal à réaliser que vous êtes une cible facile », poursuit-il.
« Le sujet n’est pas du tout, si on va être exposé à une cyberattaque, le vrai sujet, c’est quand », explique le spécialiste, une formule aussi prononcée par la présidente de la CNIL, Marie-Laure Denis, lors de la présentation du rapport mardi 29 avril. Et la problématique n’est toujours pas bien intégrée dans les consciences de différentes organisations. « C’est aussi parce que l’outil informatique est assez méconnu et qu’il est souvent considéré comme le support de l’activité et non pas comme un élément stratégique de l’activité », note l’expert.
À lire aussi : France Travail : la CNIL inquiète de la sécurité des données personnelles des demandeurs d’emploi
Un « angle mort » dans l’arsenal juridique ?
Le bilan annuel de la CNIL, qui tire la sonnette d’alarme, s’explique aussi « par le contexte réglementaire actuel ». Si plusieurs directives (NIS 2, DORA) sont sur le point d’être transposées dans le droit national, notamment via le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », certains secteurs échappent encore aux obligations ou aux recommandations liées aux données personnelles et à la sécurité informatique.
À lire aussi : « NIS 2 » : à quoi va servir la nouvelle directive cybersécurité que la France tarde à transposer ?
« Dans ce maillage, nous avons un angle mort, qui est l’ensemble des secteurs d’activité qui ne rentrent ni dans le champ de NIS 2, ni dans le champ de DORA », explique Maître Perray. NIS 2 impose à des entités dites « essentielles » et des entités dites « importantes » des exigences plus importantes en matière de cybersécurité et de gestions des risques. Les premières comprennent les administrations publiques et les acteurs indispensables au fonctionnement de l’État comme l’énergie, l’eau, les transports, les communications, une partie de la santé. Parmi les secondes, on trouve désormais la poste, les fabricants de matériel, notamment mécanique ou électronique. La directive DORA concerne, elle, les institutions financières.
Pour toutes les autres, la CNIL « est obligée de monter au créneau, puisque l’immense majorité des données qui sont stockées sur les systèmes d’informations, qui ne rentrent ni dans le champ de NIS 2, ni dans le champ de DORA, contiennent bien des données à caractère personnel ». Or pour ces systèmes, « les mesures techniques à mettre en place, finalement, ont plutôt intérêt à être équivalentes aux exigences réglementaires plus explicites ou plus prescriptives », indique l’avocat.
Passer à un format plus répressif ?
Attention, « la CNIL n’impose rien, au sens strict du terme. Le rapport (paru le 29 avril, NDLR) n’a pas d’effet contraignant du point de vue juridique. Les documents auxquels la CNIL se réfère sont essentiellement des recommandations, donc qui n’ont par nature pas d’effet contraignant », expose-t-il. « En revanche, ce que la CNIL peut faire, c’est que sur la base de ses recommandations, si elle procède à un contrôle et qu’elle constate que les mesures de sécurité sont insuffisantes, elle est tout à fait à même de sanctionner, y compris sur le fondement de telles recommandations », développe-t-il.
La raison est simple : « La CNIL ne dispose pas, ici, du pouvoir réglementaire pour imposer une règle de droit ». Mais pour l’avocat spécialiste de ces sujets, il est fondamental de « monter le niveau d’éducation et de prise de conscience (des risques cyber, NDLR) ». Et l’un des moyens d’y arriver, « c’est quand même de taper fort. On l’a vu avec le RGPD ». Le règlement européen qui protège les données de 2018 a permis, via des amendes, de mieux protéger les données personnelles.
La question qui se pose ensuite, « elle est institutionnelle, c’est-à-dire que l’ANSSI, de la même manière que la CNIL, s’est toujours retrouvée dans une philosophie de pédagogie. Ces dernières mettent par nature du temps à passer à un format plus répressif. L’ANSSI a d’ailleurs déjà fait comprendre que les entreprises concernées (par NIS 2) allaient avoir un délai de trois ans pour monter en puissance », souligne Maître Perray.
Les sociétés et organismes publics sont-ils tenus à un niveau de cybersécurité minimum ?
Quelles obligations doivent alors respecter les entités publiques ou privées ? Pour les données personnelles, le RGPD prévoit deux exigences de sécurité. « La première est considérée comme un principe fondamental, dit d’intégrité et de confidentialité » des données personnelles. Vient ensuite l’article 32 qui prévoit lui « les mesures d’application de ce principe fondamental ». Le RGPD dit en substance : un, voici le principe directeur (l’intégrité et la confidentialité des données sensibles), et deux, vous devez adopter les mesures de sécurité qui correspondent à votre niveau de risque, en fonction de la sensibilité des données.
« Avec le temps, ces mesures en question à adopter sont de plus en plus identifiables puisqu’on a des standards » qui se sont développés, comme « l’authentification multifacteurs », « la nécessité de changer un mot de passe, par exemple, tous les six mois désormais, avec des combinaisons de plus en plus longues de caractère », liste-t-il. Résultat, « si vous vous retrouvez avec des opérateurs qui prévoient des mots de passe qui sont 1, 2, 3, 4, le niveau de sécurité n’est pas rempli et dans ce cas, la CNIL peut constater le manquement et prononcer des sanctions, ce qu’elle a déjà fait d’ailleurs ».
À lire aussi : Data Act : derrière les promesses, à quoi va réellement servir le règlement européen sur les données ?
Seuls les organismes « manifestement défaillants » sanctionnés ?
Une société ou une entité publique peut-elle être tenue responsable de son manque de « robustesse » informatique, après une fuite de données ? L’idée, c’est d’abord « se concentrer sur la remédiation des conséquences de la cyberattaque. Et ce n’est que dans un deuxième temps, généralement quand il y a quelque chose de très manifeste, que l’on va sanctionner les organismes qui ont été défaillants. C’est plutôt de cette manière que le sujet est traité, en tout cas en Europe, et particulièrement en France », explique Romain Perray. « La philosophie derrière tout ça, c’est qu’on ne va pas sanctionner davantage encore la victime. La société cible d’une cyberattaque a déjà beaucoup à gérer. Ce qui est quand même une mesure de bon sens, c’est de faire en sorte de limiter les conséquences pour les personnes et pour l’organisation », ajoute-t-il.
Mais désormais au titre de NIS 2 comme de DORA, « le top management » doit « assumer la responsabilité de choix essentiels et la stratégie cyber ». Les membres du Conseil d’administration « ont d’ailleurs une obligation de formation », rappelle l’avocat. Tous ces éléments permettront-ils de changer la donne et de réduire les fuites de données dans l’Hexagone ? Le chemin risque d’être long : selon une étude de l’entreprise de cybersécurité SurfShark de fin 2024, la France est le pays d’Europe occidentale le plus touché par les fuites de données.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.