Le nombre de violations de données personnelles a bondi de 20 % en 2024. Une hausse « d’une ampleur inédite », alerte la Commission nationale de l’informatique et des libertés (Cnil), qui appelle à un sursaut collectif. Chaque année, des millions de données sensibles s’échappent de systèmes informatiques insuffisamment protégés. Et les victimes ne manquent pas : France Travail, Free, Boulanger, Auchan… autant d’organisations récemment frappées par des intrusions massives.
Dans la majorité des cas, ces fuites sont liées à des attaques opportunistes, menées à l’aveugle mais rendues efficaces par des failles toujours aussi classiques : mot de passe trop simple, détection tardive des intrusions, ou mauvaise gestion des accès. Autant de brèches que la Cnil qualifie de « récurrentes » et qui ne sont pas corrigées.
Trois priorités pour colmater les brèches
Première urgence : l’authentification multifacteur. Trop d’accès sensibles reposent encore sur un simple mot de passe. Résultat : près de 80 % des violations majeures recensées en 2024 ont été rendues possibles par l’usurpation d’un compte mal protégé. Une authentification renforcée, via une clé physique ou une application dédiée, permettrait pourtant d’écarter nombre de ces intrusions.
Deuxième levier : mieux tracer les mouvements de données. Une journalisation efficace – et lisible – est indispensable pour repérer rapidement les comportements anormaux. Encore faut-il qu’une équipe soit formée pour en assurer l’analyse en continu. La Cnil recommande de conserver ces journaux d’activité entre six mois et un an, et d’en cibler le contenu selon les risques et les systèmes.
Troisième axe : le facteur humain, encore trop souvent le maillon faible. Mauvaises pratiques, clics malheureux, négligences… La formation continue des collaborateurs, partenaires et prestataires reste essentielle. Le RGPD impose d’ailleurs aux organisations de mettre en place des mesures techniques et organisationnelles adaptées aux risques.
Lire aussi sur L’Essor de la Sécurité : Cybersécurité : quelques enjeux clés en 2025
La Cnil le martèle, les bases contenant des données de clients, d’usagers ou de prospects doivent être considérées comme des actifs critiques. Elle enjoint donc les organisations à vérifier que leurs dispositifs de sécurité sont réellement à la hauteur, notamment pour les accès à distance. Comme le disait Talleyrand, « cela va sans dire, mais cela va mieux en le disant » – surtout quand l’autorité annonce un renforcement de ses contrôles à partir de 2026.
