Summary:
En 2024, une augmentation des fuites de données massives a été observée, touchant des millions de personnes, notamment dans des bases de données d’acteurs publics et privés. Les violations, souvent causées par des attaques opportunistes et des défauts de sécurité, soulignent la nécessité de renforcer les mesures de protection. La CNIL appelle à l’adoption de l’authentification multifacteur et à des contrôles réguliers pour sécuriser les données personnelles, surtout dans le cadre des traitements à grande échelle, tout en préparant des actions renforcées pour 2025.
Original Link:
Original Article:
L’année 2024 a été marquée par une recrudescence de fuites de données massives, concernant plusieurs millions de personnes. Leur fréquence croissante justifie de renforcer la sécurité des traitements concernant de grands volumes de données personnelles. La CNIL met en avant les mesures nécessaires à cette fin.
L’année 2024 a été marquée par un accroissement important du nombre de violations de données touchant plusieurs millions de personnes. Ces incidents ont concerné quelques acteurs publics et, de manière notable, des bases de données clients/prospects et usagers de nombreux acteurs privés.
Les informations montrent que ces violations sont dues à des attaques opportunistes, avec des modes opératoires similaires, souvent rendus possibles par des défauts récurrents de sécurité. Les couples « identifiant + mot de passe » de connexion d’utilisateurs légitimes avaient été usurpés, permettant un accès aisé aux données.
Le sous-traitant, qui agit pour le compte d’un autre organisme, doit avoir des mesures de sécurité appropriées. Traiter un grand nombre de données personnelles implique des mesures de sécurité renforcées, comme indiqué dans l’article 5.1.f) du RGPD.
La CNIL appelle à des mesures de sécurité selon les articles 5.1.f et 32 du RGPD, adaptées aux risques d’exfiltrations massives. Elle recommande d’adopter des mesures telles que l’authentification multifacteur, une journalisation adaptée des flux de données, et la sensibilisation des utilisateurs.
Des contrôles réguliers doivent être réalisés, notamment auprès des sous-traitants. La CNIL renforcera dès 2025 ses actions pour améliorer la sécurité des données personnelles, avec un effort spécifique de sécurisation pour les grandes bases de données ayant plusieurs millions de personnes.
La mise en place de l’authentification multifacteur est jugée nécessaire pour protéger les données sensibles, et la CNIL accompagnera les acteurs concernés dans cette démarche.