Le couperet statistique de la Commission nationale de l’informatique et des libertés vient de tomber. Avec plus de 6 100 violations de données officiellement notifiées, le dernier rapport annuel de la CNIL met en lumière une transformation profonde des menaces informatiques. Pour décrypter les dynamiques de cette criminalité de masse, Gaëlle Tilloy, Avocate à la Cour et spécialiste des données personnelles, et Jérôme Beaufils, président de SASETY, croisent leurs expertises.
Leur constat est unanime : la massification des incidents modifie fondamentalement la nature du risque cyber.
L’identité numérique : la cible prioritaire des cybercriminels
La principale mutation du risque ne réside pas dans la complexité technique des virus informatiques, mais dans le déplacement de la cible. Les attaquants ne cherchent plus à contourner des barrières logicielles complexes : ils achètent ou dérobent des identifiants valides pour s’introduire de plain-pied dans les réseaux d’entreprise.
Les compromissions d’identités constituent désormais le point de démarrage de plus de 90 % des attaques. Les audits de terrain révèlent encore la présence systématique de mots de passe faibles, de comptes dormants non nettoyés ou d’habilitations obsolètes non révoquées. Les comptes à privilèges (accès administrateurs) restent les points de fragilité les plus fréquents.
Cette vulnérabilité s’étend également à l’écosystème des prestataires et des partenaires externes. L’externalisation des services cloud ne transfère en aucun cas la responsabilité juridique : les entreprises demeurent pleinement responsables de la sécurité des données traitées par leurs sous-traitants, ce qui impose un contrôle strict sur l’ensemble de la chaîne de confiance.
« Un identifiant compromis peut permettre de lancer des attaques comme l’hameçonnage, de tenter une réinitialisation de mot de passe, d’ouvrir l’accès à des applications bancaires et métiers, d’accéder à des données sensibles ou à des systèmes critiques. L’identité est devenue l’une des principales cibles des attaquants et constitue le point de démarrage de plus de 90% des attaques à date. » – Jérôme Beaufils
L’échec du mot de passe simple et l’impact de l’IA
L’un des chiffres les plus marquants du rapport met en lumière la « fragilité des systèmes d’authentification obsolètes », confirme Jérôme Beaufils : 80 % des violations de grande ampleur constatées par la CNIL ont été permises par l’usurpation d’un compte protégé uniquement par un mot de passe. L’implémentation de l’authentification multifacteur (MFA) est devenue indispensable, mais elle doit s’accompagner d’outils de détection active capables d’analyser en continu les comportements des utilisateurs pour repérer les connexions anormales ou les élévations suspectes de privilèges.
L’essor de l’intelligence artificielle accélère également la donne, constate Gaëlle Tilloy. Côté pile, l’IA permet aux attaquants d’industrialiser leurs opérations et de concevoir des campagnes de phishing ultra-personnalisées imitant parfaitement les communications des clients ou des administrations. Côté face, l’utilisation non maîtrisée d’outils d’IA générative par les collaborateurs ou le développement d’applications internes intégrant des modèles d’IA créent de nouveaux vecteurs de fuites de données qu’il faut impérativement encadrer.
« Toutes poursuivent finalement le même objectif : renforcer la résilience des organisations face à des menaces devenues structurelles. » Gaëlle Tilloy
Face à la convergence des réglementations européennes comme NIS2, DORA ou le Règlement sur l’IA, la protection des données personnelles devient « un pilier de la résilience des organisations », insiste Gaëlle Tilloy. Pour le régulateur, il ne suffit plus d’empiler des solutions techniques : les entreprises doivent mettre en place une démarche continue d’évaluation pour démontrer la pertinence et l’efficacité de leurs dispositifs dans la durée.
🦋 L’actualité de l’open source en français dans votre flux. Suivez Goodtech sur Bluesky (ou vos applications AT Protocol comme W Social et Mu) grâce à notre compte officiel. Suivez, partagez, abonnez-vous à @goodtech.info !
