de liens

RGPD : Violations de données personnelles : comment les prévenir ? - La CNIL apporte des recommandations

En 2024, le nombre de violations des données personnelles touche plus d'un million de personnes, 5 629 d'entre elles ont été signalées à la CNIL (soit 20% de plus qu’en 2023).

A noter, que le nombre de violations de données déclarées et notifiées auprès de la CNIL par les collectivités du portefeuille
DPO HGI-ATD est de 4.

Les incidents les plus fréquemment notifiés permettant d’obtenir les données de connexion sont les
suivants :

  • des comptes de connexion génériques ou partagés ;
  • l'hameçonnage (utilisateur recevant un message l’invitant à saisir son identifiant et son mot de passe sur un
    faux site) ;
  • un logiciel malveillant installé sur le poste d’un utilisateur et permettant de dérober les données de
    connexion ;
  • un utilisateur acceptant de vendre ses données de connexion ;
  • des données de connexion, issues d’une précédente fuite, proposées sur le marché noir.

La plupart des attaques exploitent les mêmes failles

  • les informations de connexion utilisées pour l’attaque avaient été compromises ;
  • les intrusions et les exfiltrations n’ont pas été détectées par l’organisme avant la mise en vente des jeux de
    données ;
  • une part significative des incidents impliquait un prestataire de services (sous-traitant).

Face à ce phénomène la CNIL formule des recommandations qui s’inscrivent dans le prolongement du plan stratégique 2025-2028 publié le 16/01/2025 qui fait de la cybersécurité l’un de ces quatre principaux axes.

La CNIL recommande ainsi : 

  • de mettre en place une authentification "multifacteur", en particulier pour les accès à distance, et de
    systématiser les comptes nominatifs individuels ;
  • de limiter l’accès au réseau (y compris via un réseau privé virtuel, VPN) aux seuls équipements authentifiés ;
  • de mettre en œuvre une politique d’habilitation et de définir des droits d’accès restreints à ce qui est
    strictement nécessaire en fonction notamment des besoins métiers, fonctionnels, de périmètres temporel ou
    encore géographique ;
  • d'analyser en temps réel des flux réseaux et des journaux et de disposer d'une capacité opérationnelle à
    traiter les alertes ;
  • de développer une recherche de potentielles fuites sur internet, dans le respect du RGPD et du code pénal.
    Formalité auprès de la CNIL : Notifier la CNIL via DPO Mutualisé HGI-ATD.

Pour rappel, les Contrôles CNIL portent sur le manquement aux principes de protection des données, soit  :

  • le détournement de finalité de la collecte de données
  • la collecte excessive de données par rapport à l’objectif poursuivi
  • le non respect des droits RGPD des personnes dont les données sont
    collectées
  • le non respect de l’obligation de conservation limitée des données
  • le non respect de l’obligation de sécurité (intégrité, confidentialité) des données - A noter que ce dernier manquement représente un tiers des sanctions.

Haute-Garonne Ingénierie propose à ses adhérents un plan d’action cybersécurité, incluant la sensibilisation des agents, un audit de sécurité et la mise en place d’outils adaptés. L’agence peut également être sollicitée à tout moment en cas d’incident via : cyber-hgi @ atd31.fr.

 



Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.

Paru dans :

Date :

1 mai 2025

Mots-clés