La CNIL publie ses recommandations pour renforcer la sécurité des grandes bases de données

L’année 2024 a été marquée par une augmentation significative des violations de données touchant plusieurs millions de personnes, comme le rappelle la CNIL dans ses recommandations. Ces incidents ont concerné plusieurs acteurs publics ainsi que des bases de données clients, prospects et usagers d’acteurs privés.

Selon la CNIL, ces violations résultent « d’attaques opportunistes » présentant des modes opératoires similaires et révélant des défauts récurrents de sécurité. Les principales vulnérabilités identifiées sont l’usurpation de couples « identifiant + mot de passe » d’utilisateurs légitimes, la non-détection des intrusions et exfiltrations avant l’exploitation des données, ainsi que le recours à un sous-traitant dont les mesures de sécurité sont insuffisantes.

Des mesures de sécurité renforcées pour les grandes bases de données

La CNIL considère comme « grandes bases de données » celles contenant les données de plusieurs millions de personnes. Elle souligne que le traitement de ces données présente des risques particulièrement importants, car une violation affecte une part significative de la population et expose les personnes concernées à de multiples risques, tels que l’hameçonnage ou l’usurpation d’identité.

Dans ce contexte, les mesures de sécurité « périmétriques » traditionnelles doivent être complétées par des mesures de « défense en profondeur » selon la CNIL. Elle rappelle qu’en l’absence de mesures de sécurité adéquates, un manquement à l’article 32 du RGPD peut être constaté, passible d’une amende administrative pouvant atteindre 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel (le montant le plus élevé étant retenu).

Quatre mesures essentielles identifiées par la CNIL

Dans ce contexte, la CNIL met en avant quatre mesures prioritaires pour sécuriser les grandes bases de données.

Sécuriser les accès externes grâce à une authentification multifacteur

Près de 80 % des violations de grande ampleur en 2024 ont été permises par l’usurpation de comptes protégés uniquement par un mot de passe, rappelle la CNIL. Elle recommande de mener une analyse de risques et de privilégier une authentification reposant sur un facteur de possession satisfaisant au moins le niveau « R39 – – » des recommandations de l’ANSSI.

Journaliser, analyser et fixer des limites concernant le flux de données

La CNIL recommande la mise en place d’une journalisation adaptée, de limiter le volume des extractions ou encore de permettre une traçabilité des accès pour une durée de six mois à un an.

Sensibiliser régulièrement les utilisateurs

Des programmes périodiques de formation peuvent être mis en place, afin de rappeler les erreurs courantes (partage de comptes, hameçonnage, installation de logiciels malveillants) et expliquer comment les éviter.

Encadrer la sécurité des données avec les sous-traitants

Un contrat de sous-traitance précisant les éléments prévus à l’article 28 du RGPD doit être mis en place à chaque fois que l’entreprise a recours à la sous-traitance. Celle-ci doit également demander la transmission de la Politique de Sécurité des Systèmes d’Information du sous-traitant et toute autre certification en matière de sécurité. Des audits doivent également être réalisés pendant toute la durée de la relation contractuelle.

La CNIL renforcera dès 2026 sa politique de contrôle pour s’assurer que l’authentification multifacteur a bien été mise en place pour les grandes bases de données, et pourra engager une procédure de sanction en cas de manquement. Pour rappel, la cybersécurité est l’un des trois axes principaux du plan d’action stratégique 2025-2028 de la CNIL.

Les trois points clés à retenir

Suite aux nombreuses fuites de données en 2024, la CNIL exige des mesures de sécurité renforcées pour les bases de données de plusieurs millions de personnes.
Elle identifie quatre actions prioritaires : la mise en place d’une authentification multifacteur, la journalisation des flux, la sensibilisation des utilisateurs et l’encadrement des sous-traitants.
Un renforcement des contrôles CNIL sera effectué dès 2026, avec des sanctions possibles en cas d’absence d’authentification multifacteur pour les grandes bases de données.