RGPD : Violations de données personnelles : comment les prévenir ? - La CNIL apporte des recommandations
En 2024, le nombre de violations des données personnelles touche plus d'un million de personnes, 5 629 d'entre elles ont été signalées à la CNIL (soit 20% de plus qu’en 2023).
A noter, que le nombre de violations de données déclarées et notifiées auprès de la CNIL par les collectivités du portefeuille
DPO HGI-ATD est de 4.
Les incidents les plus fréquemment notifiés permettant d’obtenir les données de connexion sont les
suivants :
- des comptes de connexion génériques ou partagés ;
- l'hameçonnage (utilisateur recevant un message l’invitant à saisir son identifiant et son mot de passe sur un
faux site) ; - un logiciel malveillant installé sur le poste d’un utilisateur et permettant de dérober les données de
connexion ; - un utilisateur acceptant de vendre ses données de connexion ;
- des données de connexion, issues d’une précédente fuite, proposées sur le marché noir.
La plupart des attaques exploitent les mêmes failles
- les informations de connexion utilisées pour l’attaque avaient été compromises ;
- les intrusions et les exfiltrations n’ont pas été détectées par l’organisme avant la mise en vente des jeux de
données ; - une part significative des incidents impliquait un prestataire de services (sous-traitant).
Face à ce phénomène la CNIL formule des recommandations qui s’inscrivent dans le prolongement du plan stratégique 2025-2028 publié le 16/01/2025 qui fait de la cybersécurité l’un de ces quatre principaux axes.
La CNIL recommande ainsi :
- de mettre en place une authentification "multifacteur", en particulier pour les accès à distance, et de
systématiser les comptes nominatifs individuels ; - de limiter l’accès au réseau (y compris via un réseau privé virtuel, VPN) aux seuls équipements authentifiés ;
- de mettre en œuvre une politique d’habilitation et de définir des droits d’accès restreints à ce qui est
strictement nécessaire en fonction notamment des besoins métiers, fonctionnels, de périmètres temporel ou
encore géographique ; - d'analyser en temps réel des flux réseaux et des journaux et de disposer d'une capacité opérationnelle à
traiter les alertes ; - de développer une recherche de potentielles fuites sur internet, dans le respect du RGPD et du code pénal.
Formalité auprès de la CNIL : Notifier la CNIL via DPO Mutualisé HGI-ATD.
Pour rappel, les Contrôles CNIL portent sur le manquement aux principes de protection des données, soit :
- le détournement de finalité de la collecte de données
- la collecte excessive de données par rapport à l’objectif poursuivi
- le non respect des droits RGPD des personnes dont les données sont
collectées - le non respect de l’obligation de conservation limitée des données
- le non respect de l’obligation de sécurité (intégrité, confidentialité) des données - A noter que ce dernier manquement représente un tiers des sanctions.
Haute-Garonne Ingénierie propose à ses adhérents un plan d’action cybersécurité, incluant la sensibilisation des agents, un audit de sécurité et la mise en place d’outils adaptés. L’agence peut également être sollicitée à tout moment en cas d’incident via : cyber-hgi @ atd31.fr. |
Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.