Actu

La Cnil a reçu 5 000 notifications de violation de données en 2021

09 juin 2022
Par Kesso Diallo
Une forte augmentation du nombre de violations de données en 2021.
Une forte augmentation du nombre de violations de données en 2021. ©Jarretera / Shutterstock

D’après un baromètre, ce sont en moyenne 20 notifications par jour ouvré qui ont été adressées à l’autorité française l’année dernière.

Plus de 5 millions de personnes touchées par une fuite de données en 2021. C’est ce que révèle le baromètre Data Breach publié le 8 juin par le cabinet de conseil et d’audit PwC France et le courtier en assurances Bessé, à l’occasion du Forum International de la Cybersécurité (FIC). Réalisé avec la participation de la Commission nationale de l’informatique et des libertés (Cnil), il indique que le nombre de notifications de violations de données enregistrées a augmenté de 75% en un an. Ce sont ainsi 5 000 notifications qui ont été reçues par l’autorité française, soit 20 en moyenne par jour ouvré.

Selon ce baromètre, 3 200 de ces dernières ont été classées comme relevant d’actes externes dont 2 981 de nature malveillante. Viennent ensuite 925 fuites provenant d’actes internes dont 200 malveillants. « Certes, la cybercriminalité est à l’origine de la majorité des fuites de données. La proportion des actes accidentels et des actes d’origine interne n’en demeure pas moins une cause à ne pas négliger », indique le document.

Des violations de données aux origines multiples

Les violations de données sont principalement liées à des actes de malveillance externes, avec l’exploitation d’une faille de sécurité du système d’information ou d’un élément informatique d’une organisation. Le cabinet PwC mentionne notamment la vulnérabilité Log4j qui fait partie de celles ayant marqué l’année 2021. Rendue publique début décembre, elle se trouvait dans un logiciel permettant d’enregistrer les activités d’une application utilisé par plusieurs services et applications dans le monde comme Apple, Twitter ou Minecraft. La faille donnait la possibilité à un attaquant d’importer des logiciels malveillants qui compromettraient les serveurs.

Bien que cela soit moins connu, une fuite de données peut également être due à la malveillance ou à la négligence d’un employé. Ces attaques sont cependant particulièrement difficiles à identifier et les enquêtes permettent rarement d’obtenir des résultats. D’un autre côté, les erreurs de configuration, comme une base de données non protégée, provoquent souvent des fuites de données massives. La sécurité d’une base face à de potentielles attaques étant fortement dépendante de sa configuration, toutes les données peuvent être exposées si celle-ci est mal paramétrée.

Indépendamment de l’origine des fuites, ces dernières constituent un danger car elles conduisent à la mise en circulation d’informations qui représentent la matière première de la cybercriminalité. « Non seulement ces informations se monnayent, mais elles structurent des attaques cyber et des campagnes de phishing de plus en plus sophistiquées », peut-on lire dans le document. 2 400 fuites de données sont en effet en lien avec des attaques par rançongiciel. Ce type de logiciel malveillant bloque l’accès aux systèmes informatiques de la victime jusqu’à ce qu’elle paie une rançon demandée par les pirates. La hausse des violations de données l’année dernière a par ailleurs été accompagnée d’une augmentation du coût moyen d’une fuite, passant de 3,86 millions de dollars en 2020 à 4,24 millions de dollars en 2021.

À lire aussi

Article rédigé par
Kesso Diallo
Kesso Diallo
Journaliste
Pour aller plus loin