Parallèlement à son rapport annuel, la CNIL a publié un document dédié à la Cybersécurité en 2020. Voici une vision rapide des chiffres dédiés à ce thème :
2 825 : c’est le nombre de notifications de violation de données à caractère personnel reçues par la CNIL en 2020
9 016 : c’est le nombre de notification de violation de donnée à caractère personnel reçues par l’autorité britannique sur la protection des données sur la même période. En France, sur 2825 notifications de violations de données auprès de la CNIL, plus de 500 concernaient des attaques par rançongiciels.
2/3 des sanctions prononcées par la CNIL concernent les manquements à l’obligation de mettre en place des mesures de sécurité.
69% des notifications reçues par la CNIL concernent une perte de confidentialité des données, soit une prise de connaissance des données par des tiers non-autorisés.
Les secteurs d’activités les plus concernés sont :
- Administrations publiques : 16%
- Activités spécialisées, scientifiques et techniques : 13%
- Commerce, réparation d’automobiles et de motocycles : 12%
- Santé humaines et action sociale : 11%
- Activités financières et d’assurance : 11%
- Information et communication : 8%
- Industrie manufacturière : 6%
- Autres activités de services : 5%
- Activités de services administratifs et de soutien : 4%
- Enseignement : 3%
- Transports et entreposage : 3%
- Activités immobilières : 3%
- Autres : 5%
Les manquements les plus fréquents constatés par la CNIL :
- des données librement accessibles par modification d’URL (défaut d’authentification, URL prédictible). Par exemple : quand il suffit de modifier un nombre dans la barre d’adresse pour accéder à des documents d’autres personnes ;
- une politique de mot de passe non conforme, ne respectant pas au minimum la recommandation mot de passe de la CNIL ;
- la transmission de mot de passe en clair. Par exemple lors de la création d’un compte sur un site web;
- la transmission de données par une connexion non chiffrée (HTTP). Par exemple dans le cas d’un formulaire sur un site web par lequel l’utilisateur envoie des données personnelles ;
- l’absence de verrouillage automatique des sessions des postes de travail, permettant ainsi à un tiers d’accéder à un système d’information contenant des données personnelles ;
- un défaut de protocole de test afin de garantir l’absence de vulnérabilité avant la mise en production d’un nouveau développement : c’est le cas quand un organisme développe un nouvel outil (application, site web, formulaire) traitant des données personnelles, sans prévoir de phase de test destinée à identifier les éventuelles vulnérabilités de l’outil.
La CNIL indique qu’elle constate des manquements liés au défaut de déploiement de solutions de chiffrements adéquates. Elle considère que la mise en place de ces solutions doit devenir un réflexe.
La CNIL renvoie vers un certain nombre de documents :
- le guide de sensibilisation aux cyberattaques édité par l’ANSSI avec la contribution de la CNIL « Attaques par rançongiciels, tous concernés » anssiguide-attaques_par_rancongiciels_tous_concernes-v1.0.pdf
- des bonnes pratiques sur des logiciels (Elasticsearch) : Moteur de recherche et d’analyse Elasticsearch : 4 bonnes pratiques pour renforcer la sécurité des données | CNIL
- une recommandation sur les mots de passe : Mots de passe : des recommandations de sécurité minimales pour les entreprises et les particuliers | CNIL
- un guide sur la sécurité des données personnelles : Guide de la sécurité des données personnelles | CNIL
- une checklist sécurité : check_list_0.pdf (cnil.fr)
- La violation du trimestre : récupération de numéros de carte bancaire par injection SQL sur un site de ecommerce : La violation du trimestre : récupération de numéros de carte bancaire par injection SQL sur un site de ecommerce | CNIL
- Violation du trimestre : les attaques sur les messageries : Violation du trimestre : les attaques sur les messageries | CNIL
- La violation du trimestre : attaque par credential stuffing sur un site web : La violation du trimestre : attaque par credential stuffing sur un site web | CNIL
- Violation du trimestre : le faux ordre de virement international ou « fraude au président » : Violation du trimestre : le faux ordre de virement international ou « fraude au président » | CNIL
POUR ALLER PLUS LOIN :
Il est à noter que l’ANSSI publie un grand nombre de bonnes pratiques sur la sécurité, comme par exemple :
- Recommandations relatives à l’administration sécurisée des systèmes d’information Recommandations relatives à l’administration sécurisée des systèmes d’information | Agence nationale de la sécurité des systèmes d'information (ssi.gouv.fr)
- Sécuriser un site web Sécuriser un site web | Agence nationale de la sécurité des systèmes d'information (ssi.gouv.fr)
- Externalisation et sécurité des systèmes d’information : un guide pour maîtriser les risques : Externalisation et sécurité des systèmes d’information : un guide pour maîtriser les risques | Agence nationale de la sécurité des systèmes d'information (ssi.gouv.fr)
- Cartographie du système d’information : Cartographie du système d’information | Agence nationale de la sécurité des systèmes d'information (ssi.gouv.fr)
L’ANSSI publie également un grand nombre d’alertes via le Centre Gouvernemental de veille, d’alerte et de réponse aux attaques informatiques :