Double authentification
5 mai 2025

Double authentification

La CNIL tire la sonnette d’alarme face à la hausse inquiétante des violations de données et impose la double authentification pour 2026.

La Commission nationale de l’informatique et des libertés (CNIL) alerte les entreprises et les administrations françaises sur une augmentation préoccupante des violations de données personnelles. D’après son dernier rapport, les incidents notifiés ont bondi de 20 % entre 2023 et 2024, avec un total de 5 629 violations rapportées sur cette période.

Une hausse alarmante des cyberattaques massives

Ce phénomène ne se limite pas à une simple augmentation numérique. La CNIL pointe particulièrement du doigt l’explosion des cyberattaques à grande échelle. En un an, le nombre d’incidents affectant plus d’un million de personnes a doublé, passant d’une vingtaine à une quarantaine d’attaques majeures. Cette tendance inquiétante s’est d’ailleurs confirmée début 2025, avec 2 500 nouvelles violations de données déjà recensées pour le premier trimestre.

2024 : une année noire pour les données personnelles

L’année 2024 a été marquée par plusieurs cyberattaques massives ayant touché des millions de citoyens français. Parmi les données divulguées figuraient des informations sensibles comme des identités, adresses postales et électroniques, voire même des informations bancaires. Ces incidents majeurs n’ont épargné aucun secteur : entreprises privées, administrations publiques et organismes sociaux. Parmi les victimes emblématiques figurent des entreprises telles que Free, Auchan, Boulanger, Cultura ou encore l’Assurance retraite. Le début d’année 2025 a poursuivi cette série noire, affectant d’autres grandes marques telles que La Poste, Chronopost ou Alain Afflelou.

Double authentification. Rapport annuel CNIL 2024
Télécharger le rapport annuel de la CNIL 2024

Des vulnérabilités communes et récurrentes

Selon la CNIL, les cyberattaques réussies exploitent généralement trois failles majeures :

  • L’utilisation de données de connexion préalablement compromises.

  • Une absence de détection rapide des intrusions avant leur divulgation publique.

  • La compromission fréquente de systèmes gérés par des sous-traitants.

Sur l’ensemble des incidents recensés, plus de la moitié (55 %) résultent directement d’attaques informatiques comme les rançongiciels ou le phishing, tandis que 20 % proviennent d’erreurs humaines internes. Marie-Laure Denis, présidente de la CNIL, souligne également que la généralisation du télétravail a exacerbé ces vulnérabilités, en particulier en raison de failles dans les dispositifs d’accès distants mis en place depuis la crise sanitaire.

La CNIL recommande des mesures de protection concrètes

Face à ces enjeux, la CNIL appelle les organisations à renforcer leurs dispositifs de sécurité par des mesures proportionnées au niveau de risque. Elle préconise notamment :

  • De procéder rapidement à toutes les mises à jour logicielles pour éviter l’exploitation de failles connues.

  • De renforcer les mots de passe en les rendant robustes et uniques par compte utilisateur.

  • D’organiser régulièrement des campagnes de sensibilisation à la sécurité informatique auprès des collaborateurs.

  • De sécuriser activement les accès aux services de messagerie.

  • De réaliser des sauvegardes régulières, dont au moins une sauvegarde déconnectée pour assurer la récupération des données en cas d’attaque.

Double authentification obligatoire dès 2026

La CNIL entend également imposer la généralisation d’une mesure technique spécifique dès 2026 : l’authentification à double facteur. Selon Marie-Laure Denis, l’application généralisée de cette mesure aurait permis d’éviter environ 80 % des cyberattaques majeures recensées en 2024. Dès lors, à compter de 2026, tous les accès à distance à de grandes bases de données devront impérativement comporter une étape supplémentaire d’identification, en complément du mot de passe habituel.

Intensification des sanctions

Face à ces multiples manquements, la CNIL a également intensifié son activité répressive en 2024, infligeant un total de plus de 55 millions d’euros d’amendes via 87 sanctions distinctes, soit plus du double par rapport à l’année précédente. Cette forte hausse des sanctions est liée en partie à une augmentation des plaintes reçues par l’autorité, qui ont atteint le nombre record de 17 772 en 2024, soit 8 % de plus que l’année précédente.

Les principales sanctions ont ciblé des insuffisances manifestes en matière de sécurité, notamment des politiques laxistes concernant la gestion des mots de passe et l’utilisation de protocoles obsolètes.

Cette mobilisation renforcée de la CNIL souligne l’urgence de renforcer la protection des données personnelles à tous les niveaux, pour anticiper et réduire le risque cyber dans les années à venir.

Cybersécurité par YOUTELL
Lire également : Gouvernance responsable de l’IA générative : un levier d’innovation sécurisée

Conclusion

Face à l’explosion inquiétante des cyberattaques et à l’augmentation constante des violations massives de données personnelles, l’appel de la CNIL à renforcer les dispositifs de sécurité ne peut plus être ignoré. L’obligation de généraliser la double authentification dès 2026 marque une étape cruciale dans la lutte contre ces menaces grandissantes. Les entreprises, administrations et organismes doivent dès maintenant adopter une approche proactive et rigoureuse, tant sur le plan technique qu’humain, pour assurer une protection efficace et durable des informations sensibles. L’enjeu est clair : anticiper les risques pour ne plus subir, mais prévenir.

Précédent

Gouvernance responsable de l’IA générative : un levier d’innovation sécurisée

Il n'y a pas d'article plus récent

5 mai 2025
scroll to top