De nos jours, les cyberattaques sont de plus en plus courantes, cela conduit à des Violation de données importantes, mettant en danger les informations personnelles des utilisateurs et les systèmes informatiques des entreprises. En France, ces attaques ont connu une augmentation significative ces dernières années, avec près de 70% des entreprises ayant subi une attaque informatique en 2020, selon un rapport du Groupement des entreprises de sécurité électronique (G.E.S).
L’année dernière, la Commission nationale de l’informatique et des libertés (CNIL) a reçu 5 037 notifications de violations de données importantes, soit une augmentation impressionnante de 79 % par rapport à l’année précédente, où elle avait reçu 2 821 notifications. À noter que ces chiffres ne représentent que les notifications complètes et initiales, car la CNIL a en réalité reçu au total 6 158 notifications.
En moyenne, cela représente 14 notifications quotidiennes et 420 notifications mensuelles pour la seule question des violations de données personnelles. Les PME et les microentreprises sont particulièrement vulnérables, représentant près de 7 notifications sur 10 (69 %), avec le piratage informatique en tant que principal motif. Les plus petites structures n’ont pas les mêmes moyens de défense que les grandes entreprises et ne sont souvent pas suffisamment sensibilisées aux risques cyber.
Il est donc crucial pour toutes les entreprises, grandes et petites, de prendre des mesures pour renforcer leur sécurité informatique et sensibiliser leurs employés aux risques de sécurité. Les mesures telles que la mise en place de systèmes de sécurité robustes, la formation des employés sur les bonnes pratiques de sécurité et la planification de mesures d’urgence en cas de violation de données sont essentielles pour protéger les données des utilisateurs et maintenir la sécurité informatique de l’entreprise.
Comment éviter les risques d’une Violation de données importante ?
Les PME sont souvent plus vulnérables aux cyberattaques que les grandes entreprises, car elles disposent souvent de moins de ressources pour mettre en place des systèmes de sécurité robustes et former leur personnel. Cependant, il existe des moyens pour les PME de savoir si elles sont bien protégées contre les cybermenaces.
Tout d’abord, il est important de réaliser une évaluation de sécurité pour identifier les éventuelles vulnérabilités de l’entreprise. Cette évaluation peut être effectuée par une entreprise de sécurité informatique spécialisée qui peut identifier les risques potentiels et recommander des mesures de sécurité appropriées.
Le cloud computing peut offrir de nombreux avantages aux PME en matière de sécurité, notamment la possibilité de stocker des données en toute sécurité dans des centres de données distants et sécurisés, gérés par des professionnels. Les fournisseurs de services cloud ont des mesures de sécurité en place pour protéger les données de leurs clients, telles que des pare-feu, des systèmes de détection d’intrusion et des sauvegardes régulières. De plus, le cloud computing permet aux PME de réduire les coûts de gestion de leur propre infrastructure informatique.
L’autohébergement, ou l’hébergement de ses propres serveurs, peut offrir plus de contrôle et de flexibilité aux PME en matière de sécurité. Cependant, cela peut également être plus coûteux et nécessite une expertise technique interne pour gérer les systèmes de sécurité.
En ce qui concerne l’obligation vis-à-vis du RGPD, toutes les entreprises, y compris les PME, doivent se conformer aux règles énoncées dans le RGPD. Le RGPD impose aux entreprises de prendre des mesures techniques et organisationnelles pour garantir la sécurité des données personnelles des utilisateurs, telles que la mise en place de systèmes de sécurité appropriés, la sensibilisation des employés aux risques de sécurité et la tenue de registres de traitement des données.
Les PME doivent être particulièrement attentives à la sécurité de leurs données, car elles peuvent être plus vulnérables aux attaques de cybercriminels. Les mesures de sécurité telles que la mise en place de systèmes de sécurité robustes, la sensibilisation des employés aux risques de sécurité et l’utilisation de solutions de stockage sécurisées telles que le cloud computing peuvent aider les PME à se protéger contre les cyberattaques et à se conformer aux règles du RGPD.
Retour sur les 10 plus gros violations de données
- Yahoo (2013-2014) : Piratage informatique de l’ensemble des comptes utilisateurs de Yahoo, soit environ 3 milliards de comptes. Les données compromises comprenaient des noms, des adresses e-mail, des numéros de téléphone, des dates de naissance et des mots de passe. Les conséquences ont été une chute de la valeur de l’entreprise, une réduction du prix de vente lors de son acquisition par Verizon, et des poursuites judiciaires.
- Equifax (2017) : Piratage informatique de l’agence d’évaluation de crédit Equifax, qui a compromis les informations personnelles de 147 millions de personnes. Les données compromises comprenaient des noms, des numéros de sécurité sociale, des dates de naissance, des adresses et des numéros de permis de conduire. Les conséquences ont été une enquête gouvernementale, des amendes importantes, des poursuites judiciaires et une perte de confiance de la part des consommateurs.
- Facebook/Cambridge Analytica (2018) : Utilisation abusive de données personnelles de plus de 87 millions d’utilisateurs de Facebook par la société de conseil politique Cambridge Analytica. Les données compromises comprenaient des informations personnelles telles que des noms, des adresses e-mail, des numéros de téléphone, des intérêts et des activités. Les conséquences ont été une enquête gouvernementale, des amendes importantes, une perte de confiance de la part des utilisateurs et une baisse de la valeur en bourse de Facebook.
- Marriott (2018) : Piratage informatique de la base de données de réservations de l’hôtel Marriott, qui a compromis les informations personnelles de 500 millions de clients. Les données compromises comprenaient des noms, des adresses e-mail, des numéros de téléphone, des dates de naissance, des passeports et des informations sur les séjours. Les conséquences ont été une enquête gouvernementale, des amendes importantes, des poursuites judiciaires et une perte de confiance de la part des clients.
- Capital One (2019) : Piratage informatique de l’entreprise de services financiers Capital One par un ancien employé, qui a compromis les informations personnelles de plus de 100 millions de clients. Les données compromises comprenaient des noms, des adresses e-mail, des numéros de téléphone, des dates de naissance, des numéros de sécurité sociale et des informations sur les transactions financières. Les conséquences ont été des poursuites judiciaires, des amendes importantes et une perte de confiance de la part des clients.
- Target (2013) : Piratage informatique du système de point de vente du détaillant américain Target, qui a compromis les données de cartes de crédit et de débit de plus de 40 millions de clients. Les conséquences ont été des amendes importantes, des poursuites judiciaires et une perte de confiance de la part des clients.
- eBay (2014) : Piratage informatique de la plateforme de commerce en ligne eBay, qui a compromis les informations personnelles de 145 millions d’utilisateurs. Les données compromises comprenaient des noms, des adresses, des dates de naissance, des numéros de téléphone et des mots de passe chiffrés. Les conséquences ont été une enquête gouvernementale, des poursuites judiciaires et une perte de confiance de la part des utilisateurs. Des experts ont également souligné que les données compromises pourraient être utilisées pour des attaques de phishing et d’autres formes de fraude en ligne.
- Anthem (2015) : Piratage informatique de la société d’assurance santé américaine Anthem, qui a compromis les informations personnelles de 80 millions de clients. Les données compromises comprenaient des noms, des adresses, des numéros de sécurité sociale et des informations sur les antécédents médicaux. Les conséquences ont été une enquête gouvernementale, des poursuites judiciaires et une perte de confiance de la part des clients.
- Uber (2016) : Piratage informatique du service de transport Uber, qui a compromis les informations personnelles de 57 millions de clients et de conducteurs. Les données compromises comprenaient des noms, des adresses e-mail, des numéros de téléphone et des numéros de permis de conduire. Les conséquences ont été une enquête gouvernementale, des amendes importantes, des poursuites judiciaires et une perte de confiance de la part des clients.
- Sony (2011) : Piratage informatique de la division PlayStation de Sony, qui a compromis les informations personnelles de 77 millions de clients. Les données compromises comprenaient des noms, des adresses e-mail, des dates de naissance, des numéros de téléphone, des mots de passe chiffrés et des informations sur les transactions financières. Les conséquences ont été des poursuites judiciaires, des amendes importantes et une perte de confiance de la part des utilisateurs.
Dans chaque cas, les conséquences pour les entreprises ont été des pertes financières importantes, des amendes et des poursuites judiciaires. Pour les utilisateurs, les conséquences peuvent inclure le risque d’usurpation d’identité, de fraude financière, et même de préjudice physique ou psychologique. Les violations de données ont un impact significatif sur la vie privée et la sécurité des consommateurs, ainsi que sur la réputation des entreprises qui les subissent.
Violation de données, quel DPO avoir ?
La mise en place du Règlement Général sur la Protection des Données (RGPD) a entraîné la nomination obligatoire de Délégués à la Protection des Données (DPO) pour les entreprises traitant des données personnelles. Le rôle du DPO est de s’assurer que l’entreprise est conforme aux exigences du RGPD et de garantir que les droits des personnes concernées sont respectés.
Cependant, il ne suffit pas de nommer un DPO pour être en conformité avec le RGPD. Le DPO doit avoir les compétences et les connaissances nécessaires pour remplir efficacement son rôle. En particulier, il est crucial que le DPO possède des connaissances solides en matière de sécurité de l’information, et plus précisément en matière de Risques Spécifiques liés à la Sécurité de l’Information (RSSI).
Les connaissances en RSSI sont importantes car elles permettent au DPO de comprendre les risques de sécurité auxquels l’entreprise est confrontée, ainsi que les mesures nécessaires pour les atténuer. En tant que responsable de la protection des données, le DPO doit être capable de comprendre comment les données personnelles sont stockées, traitées et transmises, et comment ces opérations peuvent être sécurisées pour éviter tout accès, modification ou suppression non autorisés.
Un DPO qui ne possède pas de connaissances en RSSI risque de ne pas être en mesure d’identifier les risques de sécurité et de proposer des mesures appropriées pour y faire face. Cela peut entraîner des violations de données et des pénalités financières importantes, ainsi que des dommages à la réputation de l’entreprise.
En revanche, un DPO ayant des connaissances solides en RSSI sera mieux équipé pour protéger les données personnelles de l’entreprise et s’assurer que les exigences du RGPD sont respectées. Il pourra également travailler efficacement avec les professionnels de la sécurité de l’information pour garantir que les mesures de sécurité nécessaires sont mises en place. DPO partage partage ces valeurs et réponds à cette condition.