Les données personnelles des citoyens français n’ont jamais été aussi compromises. La CNIL s’attend en effet à un doublement des signalements de violation de données personnelles en 2021. L’année précédente, ceux-ci avaient déjà augmenté de 24%.
Comment expliquer cette augmentation ? Quelles sont les causes à l’origine de ces fuites de données ?
La crise sanitaire, un contexte propice aux fuites de données
Le travail à distance a joué un rôle crucial dans le maintien de l’activité des entreprises pendant la crise sanitaire. Confinement après confinement, une partie de la population a pu continuer à travailler depuis son domicile. Bien qu’essentiel pour l’économie, l’essor du télétravail a aussi facilité l’activité cybercriminelle à plusieurs niveaux.
D’abord, le travail à distance a multiplié le nombre de terminaux et de réseaux utilisés pour accéder aux systèmes informatiques des entreprises. La surface d’attaque a donc sensiblement augmenté.
En parallèle, le shadow IT a constitué une autre opportunité pour les cyberattaquants. Il s’agit de tous les appareils, logiciels, applications utilisés par les salariés sans l’aval du service informatique. Absence d’antivirus, usage d’un logiciel n’ayant pas été mis à jour, envoi d’informations sensibles sur une adresse email personnelle… sont autant de risques introduits par le shadow IT en matière de protection des données.
Enfin, pendant la crise sanitaire, de nombreux employés français se sont retrouvés à travailler depuis leur domicile et à utiliser de nouveaux outils numériques sans avoir reçu de formation. Beaucoup de cyberattaques débutent par un clic sur le mauvais lien ou par le téléchargement d’un fichier infecté par l’un des salariés de l’entreprise… ce phénomène s’est accentué pendant la crise sanitaire.
Si les données personnelles peuvent être compromises par des attaques ciblant des particuliers, ce sont bien les fuites de données massives issues d’entreprises et d’institutions qui compromettent en majorité les informations personnelles des citoyens français.
Les PME : des cibles privilégiées
Contrairement aux idées reçues, les grands groupes et les institutions ne sont pas les cibles préférées des cybercriminels. Ces derniers privilégient avant tout les PME : s’attaquer à une petite structure est plus facile, plus rapide et donc souvent plus rentable.
Les PME, quand elles collaborent avec des structures plus importantes, peuvent constituer une porte d’accès pour des attaques d’une plus grande ampleur. Dans ce cas de figure, les PME sont parfois malgré elles à l’origine de fuites de données considérables. Il est difficile pour ces organisations de se remettre de ces attaques. Selon l’assureur Hiscox, le coût médian d’une cyberattaque pour les PME est de 51 200€.
Les données médicales particulièrement visées
Le secteur de la santé a été particulièrement touché par des cyberattaques de grande ampleur. En 2020 déjà, les fuites de données médicales avaient augmenté de 80%. En 2021, de nombreux hôpitaux, structures et établissements de santé ont été ciblés par les hackers.
Dernier exemple en date : l’AP-HP, les hôpitaux de Paris, ont subi une cyberattaque qui a conduit à un vol de données personnelles d’1,4 millions de personnes ayant réalisé un test PCR. Par les données ayant fuité, on trouve l’identité, les coordonnées et le numéro de sécurité sociale des victimes.
Sécuriser les échanges à distance
Dans un précédent article, nous partagions quelques conseils pour prémunir votre entreprise des fuites de données. Au-delà de ces mesures de protection à adopter, il convient de porter une attention particulière à vos outils de communication en ligne.
Par exemple, une solution de visioconférence traite de nombreuses données : le nom des utilisateurs, l’adresse email utilisée lors de la connexion (et donc possiblement l’agenda qui lui est associé), le numéro de téléphone, la photo de profil, les adresses postales et IP, la localisation de l’utilisateur, son carnet de contacts ou encore le contenu des échanges en eux-mêmes. Toutes ces informations sont très sensibles.
Il est donc important de choisir soigneusement vos outils de communication à distance. Pour rappel, il est préférable d’éviter les solutions états-uniennes, dont les données sont hébergées aux États-Unis. Soumises au Cloud Act, ces solutions sont tenues de communiquer les données de leurs utilisateurs aux agences fédérales américaines si celles-ci souhaitent enquêter. En réalité, beaucoup ont peur que le Cloud Act soit un outil d’espionnage économique. La CNIL a déjà épinglé Zoom et Microsoft Teams pour des transferts de données illégaux vers les États-Unis.
Par ailleurs, il est important d’opter pour des solutions collaboratives qui proposent un chiffrement de vos données de bout en bout. Toutes les entreprises ne sont malheureusement pas honnêtes sur le sujet. Zoom a ainsi versé 85 millions d’euros à des utilisateurs mécontents qui s’étaient aperçus que la marque leur avait menti sur la sécurité et le transfert de leurs données. Ce règlement à l’amiable a évité à la firme un passage devant un tribunal fédéral de Californie.
Chez Iboo, la sécurité de vos données est notre raison d’être. C’est pourquoi, en plus de vous proposer le chiffrement de vos données et d’héberger nos données en France, nous nous engageons contractuellement à ne pas les exploiter. Ainsi, la sécurité de vos données et de vos échanges est pleinement garantie.
