ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
  1. Accueil
  2. Violations massives de données en 2024 : quels sont les principaux enseignements et mesures à prendre ?

Violations massives de données en 2024 : quels sont les principaux enseignements et mesures à prendre ?

28 janvier 2025

En 2024, plusieurs violations de données d’une ampleur exceptionnelle ont touché de grandes bases de données et entraîné l’exfiltration des données de millions de Français. Pour prévenir ces violations, la CNIL propose des mesures adaptées et contrôle leur mise en œuvre.

Les violations touchant les grandes bases de données se sont multipliées en 2024

En 2024, la CNIL a été notifiée de 5 629 violations de données personnelles, soit 20 % de plus qu’en 2024. Au-delà de cet accroissement notable, la tendance la plus préoccupante est celle d’une recrudescence de violations de très grande ampleur. En plus des violations sans précédent qui ont concernées les opérateurs du tiers payant, France Travail ou encore la société Free, la CNIL constate que le nombre de violations touchant plus d’un million de personnes a doublé en un an.

5 629 violations de données

ont été notifiées à la CNIL en 2024

+20 % par rapport à l’année précédente

En réaction, la CNIL a fait de la cybersécurité un des 4 axes de son plan stratégique 2025-2028.

En pratique son action se traduit par :

Parallèlement, la CNIL intensifie la coordination avec les acteurs de la cybersécurité, en particulier l’ANSSI et cybermalveillance.gouv.fr.

Un besoin de renforcer les mesures de sécurité au regard des risques

Pour tout traitement de données personnelles, le RGPD impose à l’organisme responsable de mettre en place les mesures de sécurité adéquates par rapport aux risques. À cet égard, le guide de la sécurité des données personnelles publié par la CNIL rappelle les précautions qui devraient être mises en œuvre.

Pour les traitements de grandes bases de données, les incidents intervenus en 2024 démontrent que des mesures de sécurité renforcées sont requises au regard des risques. En particulier, les mesures de sécurité dites « périmétriques », qui visent à protéger un système d’information (SI) de menaces qui lui sont extérieures. Ces mesures peuvent utilement être complétées par des mesures de « défense en profondeur » destinées à protéger de menaces ayant déjà atteint le SI lui-même.

Les violations de données massives sont souvent dues à des défauts de sécurité récurrents

Les informations fournies par les organismes dans les notifications ou obtenues à l’occasion des contrôles diligentés par la CNIL, montrent que les modes opératoires des attaquants sont souvent similaires et exploitent régulièrement les mêmes failles. Ces informations amènent notamment les constats suivants :

  • les informations de connexion utilisées pour l’attaque avaient été compromis ;
  • les intrusions et exfiltrations n’ont pas été détectées par l’organisme avant la mise en vente des jeux de données ;
  • une part significative des incidents impliquait un sous-traitant ;

Pour montrer comment des mesures de sécurité peuvent aider à détecter et stopper les accès potentiellement suspects, avant l’exfiltration des données, la CNIL présente le mode opératoire le plus souvent constaté dans les récentes attaques.

À cet égard, l’analyse des différentes phases des violations révèle qu’une succession de défauts de sécurité courants ont permis à l’attaquant de passer d’une étape à la suivante.

Dans ce contexte, le déploiement de mesures de sécurité couvrant l’ensemble des niveaux doit être un objectif de mise en œuvre d’une « défense en profondeur » permettant de réduire à la fois la vraisemblance mais aussi la gravité des violations. Celles-ci concernent les responsables de traitement comme les sous-traitants.

  1. L’attaquant obtient des données de connexion (identifiant + mot de passe) légitimes d’un collaborateur ou partenaire

Principaux événements constatés

Le moyen permettant d’obtenir les données de connexion n’est pas forcément connu, au moment de la notification. Toutefois, les causes les plus fréquemment constatées dans les incidents notifiés à la CNIL sont les suivantes.

  • Des comptes de connexion sont génériques ou partagés.
  • Un utilisateur a reçu un message (hameçonnage) l’invitant à saisir son identifiant et son mot de passe sur un faux site.
  • Un logiciel malveillant a été installé sur le poste d’un utilisateur et a permis de dérober les données de connexion (malware, infostealer).
  • Un utilisateur a accepté de vendre ses données de connexion.
  • Des données de connexion, issues d’une précédente fuite, sont proposées sur le marché noir.

Exemples de mesures pouvant prévenir ces risques

  1. L’attaquant obtient un accès au système d’information

Principaux événements constatés

Exemples de mesures pouvant prévenir ces risques

  • Limiter l’accès au réseau (y compris via VPN) aux seuls équipements authentifiés.
  • Mettre en œuvre une veille pour être en capacité d’appliquer les mises à jour dès que possible.

  1. L’attaquant analyse le système d’information et accède aux données de façon massive

Principaux événements constatés

  • De nombreux utilisateurs peuvent accéder à d’importants volumes de données, du fait d’habilitations trop larges.
  • La récupération de toutes les entrées dans une application est possible par du script.
  • Il n’existe pas de limitations quant aux requêtes ou à la fonctionnalité applicative d’export susceptibles d’être effectués par un utilisateur.
  • Les données sont collectées ou partagées avec un sous-traitant de façon excessive au regard de la finalité du traitement.
  • Les données en base active sont conservées pendant une durée excessive.

Exemples de mesures pouvant prévenir ces risques

  • Mettre en œuvre une politique d’habilitation et définir des droits d’accès restreints à ce qui est strictement nécessaire (en fonction des besoins métier, fonctionnels, des périmètres temporel, géographique, etc.).
  • Appliquer des mesures assurant un cloisonnement effectif des données à chaque niveau des applications (du frontend au backend).
  • Appliquer des limitations temporelles sur le nombre de requêtes pouvant être effectuées, sur les volumes de données exportables, au global ou par des utilisateurs individuels.
  • Appliquer de façon stricte les principes de durée de conservation limitée des données personnelles par un mécanisme d’archivage ou de purge automatique.

  1. L’attaquant extrait les données de façon massive

Principaux événements constatés

  • Les indicateurs devant permettre de détecter une activité anormale, et réagir rapidement en cas d’alerte, sont inexistants, insuffisants ou pas exploités.

Exemples de mesures pouvant prévenir ces risques

  1. L’attaquant propose les données à la vente

Principaux événements constatés

  • Le responsable du traitement ou le sous-traitant n’ont pas détecté l’exfiltration massive et/ou ne se sont pas aperçus de la mise en vente des données.

Exemples de mesures pouvant prévenir ces risques

Dans tous les cas :

 

Document reference

Document de référence

Guide de la sécurité des données personnelles 2024
[ PDF-1.66 Mo ]

Ceci peut également vous intéresser ...

Vote par correspondance électronique : la CNIL ouvre une consultation publique pour mettre à jour ...
20 janvier 2025
Consultation
Fuite de données et vol de votre IBAN : comment vous protéger si vous êtes concerné ?
30 octobre 2024
Violation de données
Cybermoi/s 2024 : un mois pour tous devenir #CyberEngagés
01 octobre 2024
Cybersécurité