Hélène Lebon, avocat à Paris 8

Paris
06 11 74 71 27
Paris
Hélène LEBON
Avocat au Barreau de Paris
 

Hélène Lebon, avocat à Paris 8

Paris
 
06 11 74 71 27
 
Paris

La CNIL publie son document sur la CYBERSECURITE de 2020

01 Sep 2021 Publications

Parallèlement à son rapport annuel, la CNIL a publié un document dédié à la Cybersécurité en 2020. Voici une vision rapide des chiffres dédiés à ce thème :

2 825 : c’est le nombre de notifications de violation de données à caractère personnel reçues par la CNIL en 2020

9 016 : c’est le nombre de notification de violation de donnée à caractère personnel reçues par l’autorité britannique sur la protection des données sur la même période. En France, sur 2825 notifications de violations de données auprès de la CNIL, plus de 500 concernaient des attaques par rançongiciels.

2/3 des sanctions prononcées par la CNIL concernent les manquements à l’obligation de mettre en place des mesures de sécurité.

69% des notifications reçues par la CNIL concernent une perte de confidentialité des données, soit une prise de connaissance des données par des tiers non-autorisés.

 

Les secteurs d’activités les plus concernés sont :

  • Administrations publiques : 16%
  • Activités spécialisées, scientifiques et techniques : 13%
  • Commerce, réparation d’automobiles et de motocycles : 12%
  • Santé humaines et action sociale : 11%
  • Activités financières et d’assurance : 11%
  • Information et communication : 8%
  • Industrie manufacturière : 6%
  • Autres activités de services : 5%
  • Activités de services administratifs et de soutien : 4%
  • Enseignement : 3%
  • Transports et entreposage : 3%
  • Activités immobilières : 3%
  • Autres : 5%

 

Les manquements les plus fréquents constatés par la CNIL :

  • des données librement accessibles par modification d’URL (défaut d’authentification, URL prédictible). Par exemple : quand il suffit de modifier un nombre dans la barre d’adresse pour accéder à des documents d’autres personnes ;
  • une politique de mot de passe non conforme, ne respectant pas au minimum la recommandation mot de passe de la CNIL ;
  • la transmission de mot de passe en clair. Par exemple lors de la création d’un compte sur un site web;
  • la transmission de données par une connexion non chiffrée (HTTP). Par exemple dans le cas d’un formulaire sur un site web par lequel l’utilisateur envoie des données personnelles ;
  • l’absence de verrouillage automatique des sessions des postes de travail, permettant ainsi à un tiers d’accéder à un système d’information contenant des données personnelles ;
  • un défaut de protocole de test afin de garantir l’absence de vulnérabilité avant la mise en production d’un nouveau développement : c’est le cas quand un organisme développe un nouvel outil (application, site web, formulaire) traitant des données personnelles, sans prévoir de phase de test destinée à identifier les éventuelles vulnérabilités de l’outil.

 

La CNIL indique qu’elle constate des manquements liés au défaut de déploiement de solutions de chiffrements adéquates. Elle considère que la mise en place de ces solutions doit devenir un réflexe.

 

La CNIL renvoie vers un certain nombre de documents :

 

POUR ALLER PLUS LOIN :

Il est à noter que l’ANSSI publie un grand nombre de bonnes pratiques sur la sécurité, comme par exemple :

 

L’ANSSI publie également un grand nombre d’alertes via le Centre Gouvernemental de veille, d’alerte et de réponse aux attaques informatiques :


Articles similaires

Derniers articles

SANCTION CNIL : qui a chipé Dora?

Le gouvernement publie de nouveaux décrets sur la conservation des données de trafic

SANCTION PRONONCEE PAR LA CNIL POUR LA PRESENCE DE DONNEES SUR LE NOMBRE DE JOURS DE GREVE DANS LE TRAITEMENT D’EVALUATION DU PERSONNEL

Catégories

Réalisation & référencement Simplébo

Connexion