Un expert décrit une "série noire" depuis le mois de septembre, avec des diffusions de données personnelles quasiment hebdomadaires.
( AFP / - )
Les vols de données personnelles d'utilisateurs se sont multipliées ces derniers mois, avec des piratages chez Free, Boulanger ou encore SFR. Les experts de la cybersécurité pointent mardi 3 décembre des cas difficiles à traiter pour les entreprises et le gendarme de la protection des données.
Entre septembre et fin novembre, Auchan, SFR, Free, la plateforme de streaming Molotov, Truffaut, Cultura, Boulanger et Le Point ont toutes confirmé la fuite de données personnelles de leurs utilisateurs. Soit plusieurs dizaines de millions de personnes concernés, clients ou utilisateurs, dont les adresses mails, postales, et parfois les Iban , sont revendus en ligne par les pirates.
"On a vraiment une série noire depuis septembre , je pense qu'il n'y a pas eu une semaine où des entreprises ne se sont pas fait attaquer, et surtout, où des données n'ont pas été diffusées", commente auprès de l' AFP Clément Domingo, qui se qualifie de "gentil hacker" et alerte régulièrement sur les fuites de données personnelles depuis son compte X.
"On a clairement une saisonnalité dans ces attaques", en baisse l'été et en fin d'année quand les utilisateurs sont moins actifs en ligne , explique Benoît Grunemwald, expert cybersécurité chez ESET, société spécialisée dans le domaine. "La tendance est à la hausse, (...) chaque année on repère de plus en plus d'activités malveillantes et de victimes ", poursuit-il néanmoins.
Forte augmentation des piratages
Les chiffres de la Cnil, le gendarme français de la protection des données, reflètent une propension croissante des entreprises à déclarer les violations de données dont elles sont victimes. Mais ils montrent aussi d'une importante augmentation ces dernières années. De 2.821 déclarations de violation de données en 2020, le chiffre passe à 4.668 en 2023 .
Une augmentation qui s'accompagne d'une évolution des types d'attaques. Dans son "panorama de la cybermenace" publié début 2024, l'Agence nationale de la sécurité des systèmes d'informations (Anssi) relève ainsi que la "tendance au rançonnage reposant exclusivement sur l'exfiltration de données (...), observée depuis 2021, s'est confirmée en 2023". Par opposition aux rançongiciels, qui permettent de bloquer le fonctionnement d'un système informatique, ces "simples exfiltrations" conduisent à la vente directe des données piratées.
Alors que les particuliers sont encore peu sensibilisés sur la question, Clément Domingo pointe également le rôle des entreprises, qui ne prendraient "pas totalement la mesure de l'importance de la protection des données". Une critique récurrente dans le secteur. "Devoir gérer la fuite de données de millions d'utilisateurs revendiquée par leurs attaquants en n'ayant aucune maîtrise sur sa communication de crise, ce ne sont pas forcément des sujets auxquels les organisations étaient confrontées, elles ne sont pas forcément bien préparées", commente Stéphanie Ledoux, à la tête d'Alcyconie, une société spécialisée en gestion de crise cyber.
Les prestataires, le maillon faible
Des fragilités également renforcées par des attaques indirectes.
"Quasi systématiquement, les prestataires sont pointés du doigt" , observe ainsi Clément Domingo. De nombreuses fuites de données ont en effet trouvé leur origine dans des attaques de prestataires, des sociétés de taille plus modeste qui disposent généralement de moins de moyens.
"C'est pour cela que Nis 2 arrive", commente Benoit Grunemwald, en référence à une directive européenne qui étendra certaines exigences en matière de cybersécurité à davantage d'entreprises et de collectivités, et dont la date de transposition en droit français n'est pas encore connue.
Mais pour certains observateurs du secteur, la situation tient aussi d'un manque de sanctions de la part de la Cnil. "Si une entreprise a fait preuve de négligence, elle est en état de manquement, et nous pouvons la poursuivre éventuellement pour prendre des sanctions", affirme Mathias Moulin, secrétaire général adjoint de la Cnil, auprès de l' AFP .
"Mais on le fait aussi en proportion de nos moyens", poursuit-il, en précisant qu'un tiers des agents de cette autorité sont d'ores et déjà affectés aux missions de contrôle.
0 commentaire
Vous devez être membre pour ajouter un commentaire.
Vous êtes déjà membre ? Connectez-vous
Pas encore membre ? Devenez membre gratuitement
Signaler le commentaire
Fermer