Derrière les signalements Cnil, la vague des rançongiciels

Derrière les signalements Cnil, la vague des rançongiciels




Depuis l’entrée en application du RGPD, les entreprises affectées par une violation de données ont l’obligation de signaler celle ci à la Commission Nationale Informatique et Libertés (CNIL) sous peine d’amende. Un risque de sanction qui a motivé les entreprises à faire plus de transparence sur les fuites de données et attaques informatiques les affectant. Dans son rapport d’activité annuel, la CNIL explique ainsi avoir reçu 5037 notification de violation de données personnelles en 2021, soit un chiffre en hausse de 79 % par rapport à l’année précédente.

Ces notifications proviennent majoritairement des entreprises de taille modeste : les PME représentent ainsi 43 % des signalements tandis que les micro-entreprises en représentent 26 %. La Cnil estime que cette surreprésentation des petites entreprises s‘explique à la fois par leur manque de maturité en matière de cybersécurité, mais aussi par l’effet de « vague » que connaissent les notification : lorsqu’un sous traitant est touché par une attaque informatique, celui ci doit en informer ses différents clients, ce qui les conduit par la suite à notifier également la CNIL d’une violation de données. Le rapport indique que la Commission a pu recevoir plus de 300 notifications en une seule journée du fait de ce phénomène.

 

La CNIL précise la nature des violations qui lui ont été signalées, selon sa propre classification. L’énorme majorité des notifications (4017 notifications) concernent une perte de confidentialité des données, ce qui signifie que des données privées ont été exposées ou volées par des attaquants. La CNIL note que les deux autres cas de figure, perte de disponibilité et perte d’intégrité, ont doublé en 2021. De nombreuses notifications mêlent perte de confidentialité et perte de disponibilité ou d’intégrité.

 

À l’origine de ces chiffres de notification, la CNIL souligne l’importance croissante des attaques au rançongiciel qui ont marqué l’année 2021 et touché de nombreuses organisations françaises. « La CNIL a ainsi reçu plus de 2 150 notifications, soit 43 % des notifications pour ce seul type d’attaque » indique le rapport de la commission. Les actes malveillants externes représentent la majorité des cas de violation de données, dans 59% des cas. La Cnil a reçu près de 3000 notifications résultant d’un piratage informatique, un chiffre en hausse de 128 % par rapport à 2020.

En 2021, la CNIL comptait 245 employés pour un budget total de fonctionnement de 21,8 millions d’euros. Outre son rôle dans le signalement des fuites de données, la CNIL assure également une mission de contrôle et de sanction sur le respect de la législation en vigueur sur la protection des données : la Commission a ainsi réalisé 384 contrôles sur l’année 2021, qui ont donné lieu à 135 mises en demeure (contre 49 en 2020) et 18 sanctions, pour un total de 214 millions d’euros d’amende. « Sur ces 18 sanctions, la moitié comporte un manquement en lien avec la sécurité des données personnelles » écrit la CNIL.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.