Le nombre de cyberattaques a augmenté de 400% depuis la pandémie, notamment suite à l'adoption massive du télétravail. 52% des entreprises françaises ont déclaré au moins une cyberattaque en 2022. La France se place au second rang des pays les plus touchés.
Tous les organismes peuvent être visés par les pirates informatiques, depuis les grands groupes qui représentent une manne financière potentiellement très importante, jusqu'aux TPE, particulièrement vulnérables. 60% des victimes de cyberattaques sont d'ailleurs des TPE/PME. Les organismes publics gérant des données personnelles sensibles à grande échelle sont également particulièrement exposés.
Or, les organismes Français ne sont pas assez protégés contre ces attaques. En effet, leur maturité en matière de cybersécurité est encore trop faible pour faire face sereinement à l'augmentation du nombre de cyberattaques.
Toutefois, une prise de conscience s'opère, notamment sur l'impulsion du RGPD et de la CNIL qui obligent les organismes à sécuriser les données personnelles qu'ils traitent.
Comment peut-on se faire pirater ses données personnelles ?
Les violations de données personnelles désignent toute atteinte à la sécurité des données entraînant la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données.
Les principales causes de violations de données sont :
- L'attaque par ransomware : des logiciels malveillants s'introduisent dans le système informatique, les cryptent et rendent leur accès impossible pour les utilisateurs légitimes. Des rançons sont exigées en échange de la décryption des données.
- L'attaque par phishing (ou hameçonnage) : une communication frauduleuse est envoyée à la victime qui est pousse à cliquer sur un lien malveillant ou à ouvrir une pièce jointe, entraînant ainsi le téléchargement d'un malware ou la révélation d'informations confidentielles.
- L'accès non autorisé au système informatique : des attaquants accèdent au système informatique d'une organisation à l'aide de ses informations de connexion volées ou dérobées. Certains salariés mal intentionnés peuvent également être à l'origine de la violation.
- La perte de support physique : la perte d'un matériel informatique contenant des données personnelles (ordinateur portable, clé USB, smartphone...) peut donner lieu à un accès non autorisé aux données qu'il contient.
- L'erreur humaine : la violation peut résulter d'une erreur interne telle que l'envoi d'un mail contenant des données personnelles à la mauvaise personne, d'une mauvaise configuration de sécurité, etc.
Quels sont les indices d'un piratage de données personnelles ?
Voici les principaux signaux qui doivent vous alerter et vous faire penser à une possible violation de vos données personnelles.
Le compte en ligne est inaccessible
Si vous ne parvenez plus à accéder à l'un de vos comptes en ligne parce que votre mot de passe a été modifié ou parce que le compte a été bloqué à la suite de tentatives de connexion répétées, il est possible que vos données aient été compromises.
Des transactions bancaires inhabituelles apparaissent
Si vous constatez des débuts inhabituels sur vos comptes bancaires, des achats ou des virements dont vous n'êtes pas à l'origine, vos données bancaires peuvent avoir été compromises.
Des emails étranges sont envoyés depuis votre boîte mail
La réception de messages d'alerte de connexion inhabituels à votre compte de messagerie ou la découverte d'emails envoyés depuis votre messagerie à votre insu doivent immédiatement vous alerter.
Des informations personnelles ont été modifiées sans votre accord
Si vous remarquez que vos informations personnelles sur certains de vos comptes en ligne ont été modifiées à votre insu (adresse, numéro de téléphone...), cela peut indiquer que vos comptes ont été compromis.
Des demandes de réinitialisation de mots de passe non sollicitées arrivent
La réception de mails vous invitant à réinitialiser votre mot de passe sans que vous en soyez à l'origine peut indiquer que quelqu'un tente d'accéder à votre compte.
Votre ordinateur ou téléphone fonctionne de manière inhabituelle
Si votre appareil est beaucoup plus lent que d'habitude, se connecte à internet spontanément, ou si vous remarquez que des programmes s'installent automatiquement, cela peut être le signe d'une infection par un malware.
Vous êtes contacté par des escrocs qui disposent de vos informations personnelles
Recevoir des appels, emails ou messages de personnes disposant de vos informations personnelles (nom, adresse, numéro de téléphone ou bancaires) est un indice fort que vos données ont été dérobées.
Votre adresse mail apparaît dans une fuite de données
Des services en ligne comme haveibeenpwned.com permettent de vérifier si votre adresse mail a été divulguée lors d'une fuite de données personnelles. Pour aller plus loin, consultez notre guide complet sur Violation de données personnelles : comment réagir et se protéger.
Comment réagir en cas de piratage de données personnelles ?
Que faire en cas de piratage de données ? Voici les étapes à suivre.
Modifier ses mots de passe
Si vous pensez avoir été victime d'un piratage de vos données, commencez par modifier tous vos mots de passe, notamment ceux des comptes les plus sensibles (messagerie, comptes bancaires, réseaux sociaux...). Utilisez des mots de passe forts, uniques pour chaque compte, et activez la double authentification partout où c'est possible.
Prévenir sa banque
Si vos données bancaires ont été compromises, contactez immédiatement votre établissement bancaire pour signaler la situation. Il pourra notamment mettre opposition sur votre carte bancaire ou geler temporairement votre compte.
Déposer une plainte
Si vous êtes victime d'une usurpation d'identité ou d'une fraude, déposez une plainte auprès de la police ou de la gendarmerie, ou signalez les faits sur la plateforme en ligne cybermalveillance.gouv.fr.
Signaler la violation de données à la CNIL
Vous êtes une entreprise victime d'une cyberattaque qui a entraîné une violation de données personnelles ? Vous êtes dans l'obligation de le notifier à la CNIL dans les 72h et d'en informer les personnes concernées si cela présente un risque élevé pour leurs droits et libertés (article 33 et 34 du RGPD). Notre guide dédié à la violation de données personnelles et le RGPD vous explique en détail la marche à suivre.
Changer les questions de sécurité
Si vous utilisez des questions de sécurité pour accéder à certains de vos comptes, modifiez-les également. En effet, les pirates informatiques peuvent utiliser des informations personnelles vous concernant pour répondre à ces questions.
Surveiller son identité numérique
Après un piratage de données, soyez vigilant et surveillez régulièrement vos comptes en ligne et vos relevés bancaires. Vous pouvez également utiliser des outils de surveillance de votre identité numérique pour être alerté si vos données personnelles sont utilisées de manière frauduleuse.
Quelles sont les obligations des organismes en cas de piratage de données personnelles ?
Pour les organismes victimes d'une violation de données personnelles, qu'il s'agisse d'une entreprise privée, d'une association, d'une institution publique ou d'une collectivité territoriale, le RGPD impose des obligations spécifiques.
Documenter toute violation de données
Tout d'abord, l'organisme victime de la violation est tenu de documenter toute violation de données personnelles, y compris celles qu'il n'est pas tenu de notifier à la CNIL. Cette documentation doit préciser les circonstances de la violation, ses effets et les mesures prises pour y remédier.
Notifier la CNIL sous 72h
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, l'organisme est tenu de notifier la violation à la CNIL, dans les 72 heures suivant sa découverte.
Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, l'organisme doit également informer les personnes concernées dans les meilleurs délais.
Sanctions applicables
Des sanctions peuvent être imposées aux organismes qui ne respectent pas ces obligations. La CNIL peut prononcer des sanctions pécuniaires pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial de l'entreprise, selon le montant le plus élevé. Le non-signalement d'une violation de données peut donner lieu à des sanctions. Par exemple, en 2021, la CNIL a sanctionné Slimpay pour avoir manqué à son obligation de sécuriser les données, avec une amende de 180 000 euros.
Comment prévenir un piratage de données personnelles ?
Personne n'est complètement à l'abri d'un piratage de données personnelles. Toutefois, il est important de travailler à s'en prémunir et de bien réagir, le cas échéant. En effet, les violations de données personnelles peuvent être très sévèrement sanctionnées par la CNIL.
Pour mettre votre conformité RGPD sur autopilote, le logiciel RGPD Leto est là ! N'hésitez pas à réserver une démo de notre solution.
Questions fréquemment posées sur le piratage de données personnelles
Comment savoir si mes données personnelles ont été piratées ?
Plusieurs signaux d'alerte doivent vous alerter : réception d'e-mails de confirmation de comptes que vous n'avez pas créés, connexions inhabituelles sur vos comptes, transactions bancaires inconnues, ou alertes de services de surveillance. Vous pouvez vérifier gratuitement sur haveibeenpwned.com si votre adresse e-mail figure dans une fuite de données connue.
Que faire immédiatement après avoir découvert un piratage de données ?
Changez immédiatement tous vos mots de passe compromis en commençant par vos e-mails et services bancaires. Activez l'authentification à deux facteurs (2FA) partout où c'est possible. Prévenez votre banque si des données financières sont concernées. Signalez l'incident à la CNIL si vous êtes une entreprise (obligation légale sous 72h).
Quels sont les risques en cas de vol de données personnelles ?
Le vol de données personnelles expose à plusieurs risques : usurpation d'identité, fraude bancaire, phishing ciblé, chantage ou extorsion, vente de vos données sur le dark web, et ouverture de crédits frauduleux en votre nom.
Les entreprises ont-elles l'obligation de notifier un piratage de données ?
Oui. Sous le RGPD, toute entreprise victime d'une violation de données personnelles doit notifier la CNIL dans un délai de 72 heures (article 33 RGPD). Si la violation présente un risque élevé pour les droits des personnes, l'entreprise doit également informer directement les personnes concernées (article 34 RGPD).
Combien de piratages de données sont signalés en France chaque année ?
Selon la CNIL, 5 919 violations de données ont été notifiées en 2024, soit une hausse de 29 % par rapport à 2023. La France est le 2e pays européen le plus touché par les cyberattaques.
