Toute information permettant d’identifier directement ou indirectement une personne physique est considérée comme une donnée personnelle. Dans cette définition entrent : nom, prénom, tout numéro d’identification, données de localisation, adresse IP, Email, adresse, photos, informations bancaires, …

La dématérialisation de ces données constitue une masse de données conséquente alimentée par des systèmes analytiques, objets connectés, transfert de données entre administrations, partenaires, fournisseurs…

Dans ce contexte de surexposition, les données personnelles sont de plus en plus accessibles volontairement ou involontairement, facilitant une utilisation exploitée par une cyber criminalité en développement.

Quelques chiffres* pour illustrer ces propos :

En 2023, la CNIL (Commission Nationale Informatiques & Libertés) a reçu 4 668 notifications de violation de données, soit en moyenne près de 13 notifications par jour.

87 % de ces déclarations de violation concernent une perte de confidentialité, c’est-à-dire une intrusion par un tiers pouvant prendre connaissance des données, voire les copier. Parallèlement, la CNIL observe une progression notable des notifications liées à une perte d’intégrité et de disponibilité des données.

Toujours selon la CNIL, les deux-tiers des notifications de violation proviennent du secteur privé, dont 39 % de PME. Enfin, la majorité de ces violations (55 %) a pour origine un acte externe malveillant (piratages et vols intentionnels).   

*Sources CNIL : Cybersécurité – Le RGPD : la meilleure prévention contre les risques cyber – édition 2024

Différents procédés sont utilisés pour extorquer ces données : phishing, hacking, malware, l’intention restant la même, la fraude financière et l’extorsion de fonds (demande de rançon en contrepartie de la non-divulgation). Les données sont utilisées directement pour détourner des paiements ou, dans un deuxième temps, en usurpant une identité (civile ou numérique) pour accéder aux systèmes informatiques d’une entreprise et en prendre le contrôle.

Quelles expositions pour ces données ?

Trop souvent, nos assurés pensent ne pas détenir de données personnelles ou se considèrent peu exposés car n’en détenant qu’un faible volume. Dans le cadre de son activité, une entreprise stocke et utilise nécessairement des données personnelles appartenant à des tiers (données d’authentification, de contact, financières, contrat de travail…). Mais il peut aussi s’agir des données qui lui sont propres (adresse IP, état civil du chef d’entreprise, …). Pourtant ce vol de données peut avoir de lourdes conséquences.

Par exemple :

En tant qu’assureur des risques cyber, SMABTP constate que, dans les sinistres cyber qu’il a à gérer, la compromission de messagerie et le phishing par envoi de lien frauduleux tendent à se généraliser.

Monsieur F. reçoit de son fournisseur de messagerie un message l’informant que son compte nécessite la mise à jour de ses données. Le courriel reçu par Monsieur F. contient un lien de redirection suffisamment crédible pour inciter l’internaute à accéder à un formulaire où il est demandé à Monsieur F. de saisir son identifiant, son mot de passe, son numéro de portable… La fausse page web permettra la récupération de données fournissant aux pirates l’accès au compte de messagerie de Monsieur F.

Ces informations seront exploitées dans un deuxième temps de plusieurs manières. Soit pour accéder directement à la messagerie de Monsieur F. et ainsi récupérer la liste de ses contacts, soit pour tenter d’accéder directement à d’autres sites en utilisant l’identité et les identifiants de Monsieur F.

Ces procédés sont assez redoutables. Les pirates peuvent parfois voir leurs actions facilitées par des failles de sécurité dans les systèmes informatiques mais, ils misent avant tout sur le comportement des utilisateurs.

En quoi la protection des données personnelles est-elle un sujet sensible ?

Le traitement numérique des données personnelles nécessite une attention particulière. Tout d’abord, elles renvoient à une personne, à l’intégrité de son identité. Si certaines données peuvent être modifiées, d’autres sont impossibles à changer à la suite d’une compromission : on peut obtenir de nouvelles coordonnées bancaires en revanche, un numéro de sécurité sociale ou des données de l’état civil sont uniques.

C’est un sujet sensible également pour les entreprises elles-mêmes car, à l’ère numérique, la dématérialisation de données qui soient fiables et intègres, constitue un enjeu majeur.

Compte tenu de l’attrait de la criminalité pour ces données, les entreprises doivent les protéger pour prévenir leur vol et se conformer au Règlement général sur la protection des données personnelles (RGPD) ; celui-ci s’applique à toutes les entreprises établies sur le territoire de l’Union européenne.

Ce texte impose des règles sur la collecte des données, leur utilisation, et leur conservation avec une préoccupation particulière sur la sécurité des données personnelles. Il précise que le représentant légal de l'entreprise (chef d'entreprise, gérant, président...) est désigné « responsable du traitement » de ces données ; à ce titre, il doit assurer la sécurité et la confidentialité des données personnelles qu’il détient et qu’il va exploiter.

La Cnil récapitule dans le guide de sécurité des données personnelles les mesures principales à déployer : dispositifs techniques de sécurité sur les postes de travail, appareils mobiles ; sensibilisation des utilisateurs et bonnes pratiques à adopter. 

• Consultez le guide de la sécurité des données personnelles

Quelles conséquences pour une entreprise ?

Il n’est pas évident de se représenter les conséquences d’une attaque cyber, d’autant que la découverte de la compromission n‘est pas toujours immédiate ; comme évoqué ci-dessus, l’incident se déroule en deux temps : l’exfiltration, puis l’utilisation frauduleuse. C’est généralement lors de la découverte de mouvements financiers douteux que l’incident est détecté.

Le premier impact est le vol de fonds réalisé par le biais d’usurpation d’identité et de vol de données bancaires. C’est aussi le chantage visant à obtenir un paiement moyennant quoi les données ne seront pas divulguées (lorsque les données sont publiées sur le dark web, il est impossible de les récupérer ou de les supprimer).

Puis il y a les coûts consécutifs à la perturbation de l’activité. C’est le cas de la compromission des données de fichiers clients ou lorsque le vol de données a permis une intrusion malveillante bloquant le fonctionnement du système informatique. Par ailleurs, il ne faut pas négliger le temps nécessaire à la résolution de l’incident et les frais d’investigations.

Rappelons que la réglementation impose d’informer chaque personne dont les données sont divulguées et de déclarer l’incident auprès de la Cnil, tout cela dans un délai de 72 heures. Cette déclaration doit préciser le périmètre des données concernées, mais également apporter des précisions sur les circonstances de l’incident et les mesures correctives envisagées.

Enfin, en termes de réputation, ces incidents n’ont pas bonne presse.

Il est donc essentiel de pouvoir réagir rapidement et efficacement dans de telles situations.

C’est l’objet de la garantie assistance prévue par un contrat d’assurance cyber, mobilisable 7j/7 et 24h/24. Des experts en cybersécurité interviennent auprès de nos assurés pour déterminer l’origine de l’incident et le périmètre de la compromission ; ils peuvent aussi accompagner nos assurés dans les démarches réglementaires à effectuer.