Le dernier rapport annuel de la CNIL fait état d'un nombre de violations de données en très forte hausse, de l'ordre de 79 % en 2021 par rapport à 2020.
Cette semaine, la Commission nationale de l'informatique et des libertés a publié son rapport d'activité 2021, qui va de son action répressive à l'accompagnement de la réglementation, en passant par la cybersécurité, désormais omniprésente. Sur le point plus particulier des données personnelles, la CNIL a intensifié ses contrôles, et surtout, reçu un nombre record de signalements.
Une forte hausse des signalements, les plus petites structures toujours très vulnérables
L'année dernière, la CNIL indique avoir reçu 5 037 notifications de violations, un record et une hausse particulièrement impressionnante de 79 % entre 2020 (2 821) et 2021. Et attention, il s'agit des notifications « complètes et initiales », car le gendarme des données en avait reçu au total 6 158.
En moyenne donc, on parle de 14 notifications quotidiennes et de 420 mensuelles, pour la seule question des violations de données personnelles. À elles seules, les PME et les microentreprises représentent près de 7 notifications sur 10 (69 %), avec comme motif premier le piratage informatique. Cette statistique est hélas logique, puisque les plus petites structures ne bénéficient pas des mêmes moyens de défense que les grandes (pas de service informatique, etc.). Par conséquent, elles sont moins sensibilisées au risque cyber.
Cela est confirmé par le fait que les grandes entreprises ne représentent que 6 % des notifications adressées à la CNIL, et les entreprises de taille intermédiaire, 25 %.
Des violations de données encore majoritairement liées aux rançongiciels
Évidemment, se pose la question des raisons qui expliquent cette forte croissance des notifications de violation de données. La première, et nous l'évoquons régulièrement chez Clubic, c'est la nette hausse des cyberattaques, notamment par ransomwares, identifiés comme la première menace informatique pour les entreprises, organismes publics et collectivités locales.
La seconde raison, dont se félicite cette fois la CNIL, n'est autre que la prise en compte de l'obligation de notification, imposée par le RGPD, aujourd'hui le seul texte à imposer des obligations de cybersécurité précises. Il faut dire que l'échelle des sanctions (20 millions d'euros d'amende ou 4 % du chiffre d'affaires) rebute de nombreuses entreprises à se murer dans le secret des violations de données.
Mais les entreprises et organismes ont compris, pour leur propre compte, qu'il était impératif de mieux s'armer en interne pour lutter contre les brèches. Pour cela, elles font de la sensibilisation et mettent en place des processus directs qui permettent de détecter et de réagir face à ces violations.
Les entités les plus touchées par les violations de données sont issues d'activités spécialisées, scientifiques et techniques (21 %), de la santé (18 %), de l'administration publique (12 %) ou encore de la finance et des assurances (10 %).
Quant aux causes des violations, elles sont majoritairement provoquées par un acte externe (accidentel ou malveillant), à hauteur de 63 %. Les actes internes représentent quant à eux 17 %. Plus de la moitié des notifications (3 000, une hausse de 128 %) résultaient d'un piratage informatique, souvent d'un rançongiciel, qui demeure un fléau et provoque la panique des petits acteurs. Ces derniers ont souvent tout à perdre…
Source : Rapport CNIL