À l’occasion du FIC de Lille qui s’est tenu du 28 au 30 janvier, la société d’avocats PwC et l’assureur spécialisé Bessé ont présenté la première édition de leur Baromètre Data Breach, consacré aux risques cyber tels qu’ils ont été rapportés à la CNIL et publiés sur data.gouv.fr.

Le baromètre « Data Breach » fournit les grandes tendances en matière de violation de données en s’appuyant sur les données rapportées à la CNIL. Il apparaît ainsi qu’en 2019, 5,7 violations ont été dénoncées ou repérées par jour (contre 4,5 en 2018) et 812 536 ont été touchées (contre 803 000 précédemment).
Bref, sans surprise, la tendance n’est pas à l’amélioration, malheureusement.

Ce baromètre rappelle ce qu’est « une violation de données » et précise dans quels contextes ou suite à quelles négligences, elle peut arriver.

Pour mémoire, le RGPD a redéfini la notion de données personnelles. Sont considérées comme « données personnelles », toute information associée à un nom, toute information permettant d’identifier une personne et toute donnée permettant une identification indirecte des personnes !

Sont considérées comme « données personnelles sensibles », les informations concernant des données génétiques, biométriques ou de santé, celles relatives aux croyances, à la philosophie ou aux opinions syndicales, celles concernant les origines ethniques, relatives aux opinions politiques ou sur l’orientation sexuelle.
Ces données très personnelles représentent 10,4% de la masse des informations détournées ou ayant fait l’objet d’une notification de violation entre le 01/06/18 et 30/06/19.

Les instigateurs de l’étude, qui sont avocats (PwC) et assureurs (Bessé), rappellent les risques administratifs et pénaux encourus par les entreprises et qui peuvent, dans le pire des cas, devoir payer jusqu’à 4% de leur chiffre d’affaires (RGPD). À ajouter aux amendes et peines prononcées par un magistrat si l’affaire va jusqu’au judiciaire.

Sans surprise, l’étude constate que ce sont les intrusions dans les systèmes informatiques qui sont la principale source de fuites de données. Mais les négligences internes à l’entreprise sont la seconde cause, avec la publication involontaire de données et l’envoi à une personne non destinataire. A chaque fois est précisé si l’action était volontaire ou pas, malveillante ou accidentelle.

Que l’origine de la fuite soit externe ou interne, elle est dans 54% des cas d’origine malveillante et due aux 2/3 à une action de piratage. Dans 26% des cas seulement, l’origine est accidentelle.

Selon Thierry Delville, Associé Cyber Intelligence, PwC France, « les premières observations permettent d’affirmer qu’aucun secteur n’est à l’abri : finance, commerce, médias, communication, industrie… la réalité des fuites de données suit de près celle des cyber menaces. Tous concernés : secteur public comme secteur privé, marchand ou non marchand, tel est l’enseignement que l’on peut tirer plus d’un an après la mise en place du RGPD. »

Tous les secteurs d’activités sont donc touchés, mais ce sont bien les secteurs de l’Information et de la Communication (17%), des activités Scientifiques et Techniques (16%) et du Commerce (12%) qui forment le podium.

Au travers d’une infographie « Histoire Vécue », le rapport retrace aussi le modus operandi des malveillants et catégorise les impacts subis par l’entreprise : pertes financières, atteinte à la réputation, impact sur l’activité et bien sûr suites administratives et/ou judiciaires.

Le rapport rappelle enfin le rôle du Délégué à la Protection des Données (DPO) dans l’entreprise et dans quels cas la fonction est obligatoire. Les rapporteurs rappellent que la personne désignée doit avoir des compétences dans les domaines juridique et technique.  Sont également mentionnées quelques mesures préventives basiques, ainsi que quelques adresses vers la CNIL ou les services gouvernementaux concernés.

Pour en savoir plus : Le Baromètre Data Breach