Après avoir prévenu qu’elle sortait le bâton après la série de fuites de données de l’année 2024, la Cnil dévoile ses conseils. Le gardien des données personnelles, qui a enregistré 5629 violations de données, en hausse de 20%, en 2024, vient de publier ses enseignements des fuites de données récentes.
Pour l’autorité administrative indépendante, les attaques informatiques sont en effet facilitées par “une succession de défauts de sécurité courants”. Traduction: le pire n’est pas certain, il est possible donc de faire mieux.
Or, “la tendance la plus préoccupante est celle d’une recrudescence de violations de très grande ampleur”, souligne la Cnil. L’année dernière, le nombre de violations touchant plus d’un million de personnes a doublé.
Le MFA
Des atteintes qui pourraient pourtant être évitées avec une bonne “défense en profondeur”, permettant de réduire l’occurrence ou la gravité des violations.
Première série de failles qui pourraient être comblées: tout d’abord, la fuite de données de connexion légitimes. Cela peut être des comptes génériques ou partagés, ou encore un utilisateur victime de hameçonnage ou d’un infostealer, ces logiciels voleurs de mots de passe.
De même, cela peut être la vente de données de connexion, par un utilisateur malhonnête ou issu d’une ancienne fuite de données. Autant de failles qui peuvent être bloquées par la mise en place de l’authentification multifacteur, la sensibilisation et la formation.
Habilitations trop larges
Ensuite, l’accès à un système d’information d’un attaquant, parce qu’il est librement accessible depuis internet ou parce qu’il souffre de vulnérabilités, par exemple dans ses passerelles VPN, peut être entravé en limitant l’accès au réseau “aux seuls équipements authentifiés”. Il est également recommandé “de mettre en œuvre une veille pour être en capacité d’appliquer les mises à jour dès que possible”.
Autre manquement relevé par la Cnil : des habilitations trop larges à des utilisateurs qui peuvent ainsi accéder à d’importants volumes de données, sans limitations dans les requêtes ou l’export.
Le gardien des données personnelles appelle à définir des droits d’accès restreints à ce qui est strictement nécessaire.
Analyses en temps réel
Il est également recommandé de faire un cloisonnement effectif des données et de limiter dans le temps et le volume les données exportables. La Cnil suggère aussi de faire des analyses en temps réel des flux réseaux pour détecter une activité anormale telle qu’une extraction de données massives.
De même, les organisations sont invitées à mettre en place une veille pour détecter une mise en vente de données les concernant. La Cnil rapporte ainsi cet exemple d’un responsable d’un traitement ne s’étant pas aperçu de la mise en vente des données.
Des conseils de prévention également relayés par l’Anssi. Le cyber-pompier de l’Etat vient de publier une fiche à destination des professionnels. Un document qui résume les onze bonnes pratiques à avoir pour “protéger son organisation des fuites de données”.