En 2024, le nombre de violations des données personnelles touche plus d'un million de personnes, 5 629 d'entre elles ont été signalées à la CNIL (soit 20% de plus qu’en 2023).

A noter, que le nombre de violations de données déclarées et notifiées auprès de la CNIL par les collectivités du portefeuille
DPO HGI-ATD est de 4.

Les incidents les plus fréquemment notifiés permettant d’obtenir les données de connexion sont les
suivants :

• des comptes de connexion génériques ou partagés ;
• l'hameçonnage (utilisateur recevant un message l’invitant à saisir son identifiant et son mot de passe sur un
  faux site) ;
• un logiciel malveillant installé sur le poste d’un utilisateur et permettant de dérober les données de
  connexion ;
• un utilisateur acceptant de vendre ses données de connexion ;
• des données de connexion, issues d’une précédente fuite, proposées sur le marché noir.

La plupart des attaques exploitent les mêmes failles

• les informations de connexion utilisées pour l’attaque avaient été compromises ;
• les intrusions et les exfiltrations n’ont pas été détectées par l’organisme avant la mise en vente des jeux de
  données ;
• une part significative des incidents impliquait un prestataire de services (sous-traitant).

Face à ce phénomène la CNIL formule des recommandations qui s’inscrivent dans le prolongement du plan stratégique 2025-2028 publié le 16/01/2025 qui fait de la cybersécurité l’un de ces quatre principaux axes.

La CNIL recommande ainsi : 

• de mettre en place une authentification "multifacteur", en particulier pour les accès à distance, et de
  systématiser les comptes nominatifs individuels ;
• de limiter l’accès au réseau (y compris via un réseau privé virtuel, VPN) aux seuls équipements authentifiés ;
• de mettre en œuvre une politique d’habilitation et de définir des droits d’accès restreints à ce qui est
  strictement nécessaire en fonction notamment des besoins métiers, fonctionnels, de périmètres temporel ou
  encore géographique ;
• d'analyser en temps réel des flux réseaux et des journaux et de disposer d'une capacité opérationnelle à
  traiter les alertes ;
• de développer une recherche de potentielles fuites sur internet, dans le respect du RGPD et du code pénal.
  Formalité auprès de la CNIL : Notifier la CNIL via DPO Mutualisé HGI-ATD.

Pour rappel, les Contrôles CNIL portent sur le manquement aux principes de protection des données, soit  :

• le détournement de finalité de la collecte de données
• la collecte excessive de données par rapport à l’objectif poursuivi
• le non respect des droits RGPD des personnes dont les données sont
  collectées
• le non respect de l’obligation de conservation limitée des données
• le non respect de l’obligation de sécurité (intégrité, confidentialité) des données - A noter que ce dernier manquement représente un tiers des sanctions.

Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.