Tout s’explique

La Cnil signale une forte hausse des attaques informatiques

  • Qu’observe la Cnil dans son rapport annuel ?

    La Cnil, l’autorité de contrôle en matière de protection des données personnelles, a publié aujourd’hui son rapport annuel. Elle y note une importante augmentation (+79 %) des notifications de violations de données personnelles, liée à « une très forte croissance des attaques informatiques », en particulier des attaques par rançongiciel. Ce logiciel malveillant bloque l’accès aux ordinateurs en chiffrant leur contenu et réclame le paiement d’une rançon en échange du déchiffrement. La Cnil note également dans son rapport l’augmentation des plaintes reçues pour surveillance au travail, qui ont constitué le « troisième motif de saisine de plaintes », a expliqué Marie-Laure Denis, présidente de la Cnil, ce matin sur Franceinfo. Un employeur « ne peut pas obliger » son salarié en télétravail « à avoir sa caméra allumée toute la journée », a-t-elle rappelé.

  • Quelles entreprises sont visées par des attaques informatiques ?

    Plus des deux tiers des notifications pour violations de données personnelles (dont la plupart correspondent à « des actes externes malveillants », selon la Cnil) concernent des PME et des micro-entreprises. « Moins armées que les grandes entreprises face à cette menace, elles constituent des cibles privilégiées pour les acteurs malveillants », note la Cnil. Le quart des notifications pour des attaques par rançongiciel en 2021 concernaient le secteur de la santé et de l’action sociale. Un rapport du Sénat d’avril 2020 dénonçait un « sous-investissement chronique en dépense de sécurité informatique » dans les établissements de santé. « Aujourd’hui, dans un hôpital, quand on a de l’argent, on va privilégier l’achat d’un nouveau scanner plutôt que d’investir dans la cybersécurité », a déclaré Bertrand Pailhès, le directeur des technologies et de l’innovation de la Cnil, à Franceinfo.

  • Que préconise la Cnil pour se prémunir contre les cyberattaques ?

    D’après un rapport de 2021 de l’entreprise américaine de télécommunications Verizon, le vol d’identifiants est à l’origine de 61 % des « compromissions de données ». La Cnil estime que la sécurisation des données personnelles par un mot de passe est « généralement acceptable », mais que d’autres moyens comme l’authentification à double facteur (via un code envoyé sur le téléphone par exemple) « offrent davantage de sécurité ». Guillaume Poupard, directeur général de l’Anssi, une agence chargée de la sécurité informatique et dépendant du Premier ministre, appelle dans le rapport de la Cnil les entreprises et les administrations à faire des mises à jour et des sauvegardes et à contrôler qui a accès aux données critiques. « Ce travail d’identification et de sécurisation est d’ailleurs demandé par le RGPD », le règlement européen sur la protection des données, pointe-t-il. « Aussi, être conforme au RGPD est souvent synonyme d’un bon niveau de cybersécurité », conclut-il.

Pour aller plus loin