Cybersécurité : comment faire face à l'augmentation des violations de données ?
Les entreprises et autres organisations sont de plus en plus sur le qui-vive. La question n’est plus si une cyberattaque aura lieu, mais plutôt quand. Pour les entreprises, la cyberattaque s’accompagne bien souvent de la violation de données. En 2021, la CNIL (Commission Nationale de l'Informatique et des Libertés) prévoit 2 fois plus de violations de données qu’en 2020. Sécuriser les données personnelles et confidentielles devient un point central pour chaque service informatique.
100% D’AUGMENTATION DES VIOLATIONS DE DONNÉES
La CNIL (Commission Nationale de l’Informatique) alerte toujours plus d’année en année. La cybercriminalité explose et les violations de données aussi. D’après la nouvelle réglementation, dès qu’une violation de données a lieu, l’entreprise ou l’organisation a 72h pour prévenir la CNIL de cette intrusion et/ou vol. La CNIL reçoit des notifications dès que cela se produit et elle les comptabilise :
- 2018 : 1170 notifications de violations de données,
- 2019 : 2287 notifications, soit 19% de hausse,
- 2020 : 2825 notifications, soit 24% de hausse.
Et 2021 ? Cela ne va pas s’arranger. Les usages et les échanges numériques s’intensifient. Les violations de données personnelles, avec. À quelques mois de la fin d’année, la CNIL estime déjà une hausse de 100% des violations de données par des cybercriminels. La CNIL s’inquiète et alerte d’autant plus à l’approche des fêtes.
LES DONNÉES PERSONNELLES : LA MONNAIE D'ÉCHANGE POUR LES RANÇONGICIELS
Parmi les 2825 notifications reçues en 2020, il faut savoir que plus de 500 notifications concernent les rançongiciels, soit presque 20%. D’après la CNIL, les violations de données via les rançongiciels sont la conséquence directe de "l'accélération de la dématérialisation et de la numérisation avec la pandémie”, surtout dans le milieu de la santé. Les rançongiciels ont le vent en poupe et ce phénomène n’est pas prêt de s’arrêter.
C’est pourquoi la CNIL craint vraiment que le nombre de cyberattaques sous forme de rançongiciels n’explose. Beaucoup d’organismes ne sont pas encore prêts techniquement à se protéger contre la violation des données. Principale cause : les derniers changements sociétaux (télétravail, médecine à distance…) qui sont apparus brusquement.
LE PRINCIPE D’ACCOUNTABILITY, UNE OBLIGATION D’ANTICIPATION ET DE PREUVE SUR LE VOL DES DONNÉES
La CNIL souhaite prévenir le risque de violation de données, surtout celles autour de la santé qui se multiplient. Depuis 2018, les organismes (entreprises, institutions et autres) sont soumis au Règlement général de la protection des données (RGPD).
Encore peu connue du grand public, la notion de RGPD est de plus en plus connue… et de plus en plus stricte. Les entreprises et institutions ont désormais l’obligation d’anticiper la violation de données et de prouver les actions mises en place a posteriori. C’est ce que l’on appelle “le principe d’accountability”.
5 ACTIONS À METTRE EN PLACE, DONT LE CHIFFREMENT DES DONNÉES
Les équipes de cybersécurité sont face à des cybercriminels déterminés et qui se professionnalisent dans les rançongiciels. Plusieurs actions sont possibles pour anticiper ce phénomène, s’y préparer… et apprendre pour les prochaines cyberattaques :
- 1. Créer des campagnes de prévention internes à l’entreprise pour sensibiliser chaque collaborateur. Surtout, avec la démocratisation du télétravail.
- 2. Mettre en place des systèmes d’accès sécurisés comme la double identification lors de connexions.
- 3. S’appuyer sur le cryptage : la CNIL encourage de plus en plus toutes les entreprises et autres organisations à « recourir au chiffrement des données lors des transferts ».
- 4. Tenir un registre de documentation sur toutes les cyberattaques passées et les évolutions technologiques. Ce registre est appelé dossier de conformité.
- 5. Simuler des attaques fictives, pour entraîner et préparer les équipes à bien réagir en cas de cyberattaque.
Face à ce contexte et aux enjeux sur la violation de données, le Data Protection Officer (DPO) est un métier qui commence à s’installer dans un grand nombre d’entreprises et d’institutions. Quelle que soit la taille de l’organisme, il est donc essentiel d’être bien accompagné, d’être conseillé… et d’être actif sur la protection des données.
Vous souhaitez vous prémunir contre des cyberattaques envers votre société ? Avanista Group est une Entreprise de Services Numériques (ESN), anciennement SSII(société de service et d'ingénierie informatique.) basée à Cachan, dans le Val de Marne. Nous accompagnons nos clients dans leurs projets et besoins informatiques et proposons une expertise complète : AMOA, AMOE, Infrastructures, cybersécurité.