Cyberattaques : une explosion des violations de données en 2024, la CNIL tire la sonnette d’alarme

Le rapport annuel 2024 de la CNIL vient de tomber, et les chiffres font froid dans le dos : les violations de données personnelles ont connu une forte hausse, avec plus de 5 600 incidents signalés, soit une augmentation de 20 % par rapport à 2023. Encore plus préoccupant, les attaques de grande ampleur – celles qui touchent plus d’un million de personnes – ont littéralement doublé.

Des enseignes bien connues comme Auchan, Boulanger, Cultura ou Truffaut figurent parmi les victimes. Et ce ne sont que les exemples les plus visibles d’un phénomène qui s’accélère.

Une année noire pour la cybersécurité

Derrière ces chiffres, un constat simple : les cybercriminels ont frappé fort en 2024. La CNIL a recensé plusieurs violations massives, affectant notamment des acteurs majeurs comme France Travail, Free, ou les opérateurs de tiers payant.

Face à cette situation, la CNIL a accentué son action :

• 5 629 violations notifiées,
• 331 mesures correctrices prononcées,
• Plus de 55 millions d’euros d’amendes infligés,
• 69 sanctions via la procédure simplifiée (soit trois fois plus qu’en 2023).

Cette montée en puissance de l’activité répressive s’accompagne d’une ambition plus large : renforcer la prévention, accompagner les professionnels, informer les usagers, et anticiper les nouveaux usages numériques.

2025-2028 : un plan stratégique centré sur la cybersécurité

Consciente de l’ampleur de la menace, la CNIL a placé la cybersécurité au cœur de son plan stratégique 2025-2028. Plusieurs priorités ont été définies :

• Renforcement de l’accompagnement des organismes (publics et privés) avec des recommandations concrètes,
• Contrôles plus fréquents, y compris sur les applications mobiles, notamment celles de rencontres, souvent gourmandes en données personnelles,
• Prévention auprès des publics sensibles, comme les élèves ou les seniors, via des ateliers éducatifs,
• Encadrement renforcé de l’IA générative, pour éviter les dérives dans l’utilisation des données personnelles,
• Promotion de l’authentification à double facteur pour les bases de données de plus de 2 millions de personnes.

Des failles souvent prévisibles

Dans la majorité des cas, les cyberattaques exploitent des faiblesses connues :

• Comptes partagés ou génériques,
• Hameçonnage (phishing),
• Logiciels malveillants installés sur les postes utilisateurs,
• Failles dans les systèmes de sécurité (pare-feu, VPN, etc.),
• Droits d’accès trop larges ou mal contrôlés.

La CNIL souligne que ces défauts de sécurité permettent aux attaquants de progresser étape par étape : vol d’identifiants, accès au système d’information, extraction massive des données, puis revente sur des forums clandestins.

Des mesures concrètes pour limiter les dégâts

Pour éviter la répétition de ces scénarios, la CNIL recommande une série d’actions concrètes :

• Authentification multifactorielle obligatoire, surtout pour les accès à distance,
• Comptes individuels nominatifs au lieu de comptes partagés,
• Veille active sur les failles de sécurité connues,
• Contrôle strict des droits d’accès, avec une vraie politique d’habilitation,
• Limitation des exports de données et des volumes accessibles par utilisateur,
• Surveillance des flux et journaux d’activité, pour détecter les comportements anormaux.

Ces mesures, si elles sont bien appliquées, permettent de mettre en place une véritable défense en profondeur, limitant à la fois les risques d’attaque et leurs conséquences.

En conclusion : une vigilance de tous les instants

Les chiffres de 2024 montrent que la cybersécurité n’est plus un enjeu secondaire. Pour les entreprises, les administrations, mais aussi les particuliers, c’est un sujet central, qui nécessite rigueur, anticipation et pédagogie.

La CNIL joue son rôle, en sanctionnant les manquements mais aussi en accompagnant les efforts. À chacun maintenant de prendre la mesure du risque – et d’agir en conséquence ( audit cyber, respect RGPD, réglementation DORA etc…)