Récurrence des fuites de données: des attaques difficiles à traiter

99

Free, Boulanger, SFR: face à la récurrence des fuites de données personnelles ces derniers mois, des experts de la cybersécurité pointent des cas difficiles à traiter pour les entreprises et le gendarme de la protection des données. Entre septembre et fin novembre, Auchan, SFR, Free, la plateforme de streaming Molotov, Truffaut, Cultura, Boulanger et «Le Point» ont toutes confirmé la fuite de données personnelles de leurs utilisateurs. Soit plusieurs dizaines de millions de personnes concernés, clients ou utilisateurs, dont les adresses mails, postales, et parfois les Iban, sont revendus en ligne par les pirates. «On a vraiment une série noire depuis septembre, je pense qu’il n’y a pas eu une semaine où des entreprises ne se sont pas fait attaquer, et surtout, où des données n’ont pas été diffusées», commente Clément Domingo, qui se qualifie de «gentil hacker» et alerte régulièrement sur les fuites de données personnelles depuis son compte X. «On a clairement une saisonnalité dans ces attaques», en baisse l’été et en fin d’année quand les utilisateurs sont moins actifs en ligne, explique Benoît Grunemwald, expert cybersécurité chez ESET, société spécialisée dans le domaine. «La tendance est à la hausse, (…) chaque année on repère de plus en plus d’activités malveillantes et de victimes», poursuit-il néanmoins. Les chiffres de la Cnil, le gendarme français de la protection des données, reflètent une propension croissante des entreprises à déclarer les violations de données dont elles sont victimes. Mais ils montrent aussi d’une importante augmentation ces dernières années. De 2.821 déclarations de violation de données en 2020, le chiffre passe à 4.668 en 2023. Une augmentation qui s’accompagne d’une évolution des types d’attaques. Dans son «panorama de la cybermenace» publié début 2024, l’Agence nationale de la sécurité des systèmes d’informations (Anssi) relève ainsi que la «tendance au rançonnage reposant exclusivement sur l’exfiltration de données (…), observée depuis 2021, s’est confirmée en 2023». Par opposition aux rançongiciels, qui permettent de bloquer le fonctionnement d’un système informatique, ces «simples exfiltrations» conduisent à la vente directe des données piratées. Alors que les particuliers sont encore peu sensibilisés sur la question, Clément Domingo pointe également le rôle des entreprises, qui ne prendraient «pas totalement la mesure de l’importance de la protection des données». Une critique récurrente dans le secteur. «Devoir gérer la fuite de données de millions d’utilisateurs revendiquée par leurs attaquants en n’ayant aucune maîtrise sur sa communication de crise, ce ne sont pas forcément des sujets auxquels les organisations étaient confrontées, elles ne sont pas forcément bien préparées», commente Stéphanie Ledoux, à la tête d’Alcyconie, une société spécialisée en gestion de crise cyber. Des fragilités également renforcées par des attaques indirectes. «Quasi systématiquement, les prestataires sont pointés du doigt», observe ainsi Clément Domingo. De nombreuses fuites de données ont en effet trouvé leur origine dans des attaques de prestataires, des sociétés de taille plus modeste qui disposent généralement de moins de moyens. «C’est pour cela que Nis 2 arrive», commente Benoit Grunemwald, en référence à une directive européenne qui étendra certains exigences en matière de cybersécurité à davantage d’entreprises et de collectivités, et dont la date de transposition en droit français n’est pas encore connue. Mais pour certains observateurs du secteur, la situation tient aussi d’un manque de sanctions de la part de la Cnil. «Si une entreprise a fait preuve de négligence, elle est en état de manquement, et nous pouvons la poursuivre éventuellement pour prendre des sanctions», affirme Mathias Moulin, secrétaire général adjoint de la Cnil. «Mais on le fait aussi en proportion de nos moyens», poursuit-il.