Le constat est alarmant et sans grande surprise : les violations de données explosent selon le baromètre du Forum International de la Cybersécurité (FIC 2021). Le nombre de personnes touchées (environ 2 millions) a progressé de plus de 20% en 2020. Les premières victimes sont les secteurs des sciences, des techniques, mais aussi l’administration publique.
Une violation de données est constituée par « tout incident de sécurité entraînant l’altération, la destruction, la perte ou la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite » au regard de la CNIL. Elle est majoritairement de nature malveillante (52% des cas), avec 64,3% de piratages en ligne et 19,2% de vols physiques. Cependant, les fuites de données d’origine accidentelle ont progressé de 7% en 2020. Les obligations des responsables du traitement concernant les violations de données personnelles, et notamment leur notification à la CNIL et aux personnes concernées, sont prévues dans le règlement général sur la protection des données (RGPD).
Les données sensibles et stratégiques sont les plus ciblées. Les sciences et techniques, l’Administration publique, la finance, la santé, l’information et communication sont les secteurs les plus touchés. Les hackers ciblent les secteurs ayant des données à caractère sensible et/ou à forte valeur ajoutée. En 2020, près de 13% des violations de données concernaient des données dites sensibles comme les données de santé, l’origine ethnique, ou encore les opinions politiques.
Cette année, le baromètre du FIC 2021 s’est penché sur les attaques informatiques chiffrant l’intégralité des données se trouvant dans un système d’information (appelées les ransomwares). Leur nombre explose : 192 incidents ont été signalés en 2020, contre seulement 54 en 2019 (soit une hausse de 255% !).
Quelles sont les prédispositions à prendre ? L’entreprise doit prévenir toute violation en mettant en place des systèmes de sécurité pour ses outils : elle doit tenir à jour une liste de tous les personnels internes de gestion des incidents ou de tous les prestataires externes, mettre en place un outil de surveillance permanente pour détecter et signaler les activités suspectes, mettre en place l’authentification multifactorielle afin de limiter les intrusions dans les outils internes à l’entreprise. L’entreprise est également tenue de former et sensibiliser ses collaborateurs afin de réduire les erreurs de sécurité informatique.
Toutefois, il existe des réflexes à adopter en cas de vol des données à caractère personnel : modifier les mots de passe, activer si ce n’est pas encore le cas l’authentification multifactorielle, expliquer les faits aux collaborateurs pour prévenir la fraude, ou encore se renseigner en ligne sur les informations circulant au sujet de l’entreprise.
