Comment identifier un piratage de vos données personnelles ?

Le nombre de cyberattaques a augmenté de 400% depuis la pandémie, notamment suite à l’adoption massive du télétravail. 52% des entreprises françaises ont déclaré au moins une cyberattaque en 2022. La France se place au second rang des pays les plus touchés.

Tous les organismes peuvent être visés par les pirates informatiques, depuis les grands groupes qui représentent une manne financière potentiellement très importante, jusqu’aux TPE, particulièrement vulnérables. 60% des victimes de cyberattaques sont d’ailleurs des TPE/PME. Les organismes publics gérant des données personnelles sensibles à grande échelle sont également particulièrement exposés.

Or, les organismes Français ne sont pas assez protégés contre ces attaques. En effet, leur maturité en matière de cybersécurité est encore trop faible pour faire face sereinement à l’augmentation du nombre de cyberattaques.

Toutefois, une prise de conscience s’opère, notamment sur l’impulsion du RGPD et de la CNIL qui obligent les organismes à sécuriser les données personnelles qu’ils traitent. Les entreprises prennent de plus en plus de mesures pour protéger leurs systèmes et leurs données contre les attaques informatiques.

Nous verrons dans cet article :

  • Ce qu’est un piratage de données personnelles,
  • Les différentes méthodes de piratage,
  • Les clés pour identifier un piratage,
  • Ainsi que les bonnes pratiques pour se prémunir d’un piratage de données personnelles.

1- Qu’est-ce qu’un piratage de données ?

Un piratage informatique est une intrusion sans autorisation dans un ordinateur, un réseau, un service en ligne ou encore un serveur. Le piratage informatique peut prendre deux formes principales :

  • Le piratage d’un compte : consiste en la prise de contrôle d’un compte au détriment de son propriétaire légitime (compte bancaire, réseaux sociaux, boite mail ..);
  • Le piratage d’un équipement : consiste en l’intrusion dans un système d’information via une faille de sécurité, une négligence ou encore une technique de piratage comme le hameçonnage.

Lors d’une attaque informatique, le criminel que l’on nomme “pirate informatique” s’introduit dans les systèmes afin de tenter :

  • De prendre le contrôle de l’équipement ou du compte visé;
  • et/ou de dérober des données personnelles dans des objectifs divers : obtenir une rançon, usurper l’identité des personnes, opérer une fraude bancaire, dans le cadre de missions d’espionnage ou encore de sabotage.

Ainsi, pour qu’il y ait piratage informatique, il faut donc nécessairement qu’il y ait une intrusion, c’est-à-dire un accès sans autorisation à l’équipement ou au compte visé. Tant qu’il n’y a pas intrusion, il n’y a pas piratage mais seulement tentative.

🔎  Exemple : recevoir un mail de hameçonnage (aussi appelé phishing) n’est pas un piratage en temps que tel. En revanche, dès que vous cliquez sur un lien ou une pièce jointe entraînant l’installation d’un logiciel malveillant, il y a intrusion et donc piratage.

2- Quelles sont les différentes méthodes de piratage de données personnelles ?

Les pirates informatiques mettent en œuvre différentes méthodes pour s’introduire dans les systèmes et ainsi s’attaquer aux données personnelles. Quelles sont les principales ?

Le hameçonnage (aussi appelé phishing)

💡 D’après le site cybermalveillance.gouv.fr”, 70% des piratages sont dus à du hameçonnage.

Le hameçonnage consiste pour le pirate à se faire passer pour un organisme officiel ou un tiers de confiance : boutique en ligne, banque, poste, service des impôts etc.

Ils envoient un mail, parfois un SMS, sous les couleurs de cet organisme, vous enjoignant à cliquer sur un lien ou à ouvrir une pièce jointe. Il s’agit souvent d’inciter à mettre à jour ou confirmer vos informations, notamment bancaires.

Lorsque vous cliquez sur le lien, vous atterrissez sur un faux site web copiant l’original. Les pirates récupèrent ainsi vos informations de paiement ou vos mots de passe.

Le rançongiciel

💡 52% des piratages conduisent à une extorsion d’argent, notamment grâce au ransomware (ou rançongiciel en français).

Ces programmes informatiques sont des logiciels d'extorsion. Ils peuvent verrouiller l’ordinateur, bloquer l’accès à des comptes (par exemple de réseaux sociaux) et chiffrer les données.

Les criminels réclament alors une somme d’argent en échange de la clé de chiffrement ou du déverrouillage de l’équipement ou du compte concerné.

Le vol de mot de passe

Pour dérober les mots de passe des utilisateurs, les pirates utilisent des logiciels spécifiques qui tentent un maximum de combinaisons possibles afin de trouver le mot de passe.

L’objectif est de récupérer des données personnelles afin, notamment, d’usurper l’identité de la personne et/ou de son entreprise.

Le logiciel malveillant

💡 52% des piratages des données ont lieu au moyen d’un virus informatique.

Un malware est un programme développé dans le but de saboter un système informatique afin d’accéder au réseau. Ils dérobent ensuite des informations personnelles et des données sensibles pour usurper une identité, demander une rançon etc. Ces logiciels se cachent souvent dans les logiciels de téléchargement gratuit ou une clé USB piégée.

Le faux réseau wifi

Lorsque l’on a besoin de wifi pour travailler, il peut être tentant de se connecter à un wifi ouvert provenant de l’extérieur. Cependant, certains de ces réseaux peuvent être piégés pour récupérer des données personnelles.

Si vous vous connectez à un réseau ouvert, évitez notamment de :

  • Vous connecter à des sites internets sensibles (site de l’entreprise, logiciels internes, compte bancaire etc);
  • Effectuer des achats en ligne ;
  • Ou encore de télécharger quelle que mise à jour que ce soit.

3- Comment savoir si l’on a été piraté ?

Les signes directs et indirects de piratage

Certains signes de piratage sont évidents :

  • Compte soudainement inaccessible,
  • Fichiers chiffrés (dans le cas de rançongiciel),
  • Message du pirate ou du programme malveillant (à vérifier car il s’agit parfois de chantage),
  • Activité inhabituelle sur un compte de réseaux sociaux,
  • Ou encore un curseur de souris qui bouge tout seul.

D’autres signes de piratage informatique sont plus subtiles, mais ils doivent impérativement vous alerter :

  • Accès suspect à un compte qui déclenche un e-mail d’alerte,
  • Des e-mails marqués comme lus alors que ce n’est pas le cas,
  • Un ordinateur lent au démarrage,
  • Des fichiers déplacés etc.

Identifier un piratage : les points à vérifier

Pour identifier un éventuel piratage, il est conseillé d’observer plusieurs points :

  1. L'activité réseaux des programmes pour traquer toute activité suspecte,
  2. L’historique des fichiers téléchargés : si vous repérez un programme suspect, vous pouvez le scanner avec des outils comme Malwr pour vérifier sa nature,
  3. Les logs : il s’agit des enregistrements automatiques de l’état de certains logiciels. Les logs permettent de remonter dans l’historique du système (ordinateur, téléphone portable, tablette) et de vérifier si un virus ne s’est pas lancé;
  4. Les programmes qui se lancent au démarrage : les logiciels malveillants se lancent à chaque démarrage de l’ordinateur pour continuer leur activité indéfiniment.

4- Quelles sont les bonnes pratiques pour se prémunir d’un piratage de données personnelles ?

Les organismes sont globalement insuffisamment protégés contre les attaques malveillantes visant à voler leurs données personnelles. Ils présentent souvent des failles de sécurité.

La négligence est aussi souvent en cause dans les cas de violation de données. En effet, parmi les manquements les plus fréquemment constatés par la CNIL, l’absence de verrouillage automatique des sessions informatiques est en bonne place. Un tiers peut alors facilement accéder au système d’information contenant des données personnelles.

Pour protéger votre entreprise, certaines bonnes pratiques doivent être mises en œuvre.

Mettre en place une stratégie de cybersécurité

Élaborer une stratégie de cybersécurité à tous les niveaux, salariés, fournisseurs et clients est indispensable. Des règles et des processus précis doivent être mis en œuvre relativement à l’utilisation des ordinateurs, des réseaux ainsi que des échanges de données. En cas d’attaque ou de tentative d’intrusion, des protocoles d’urgence doivent pouvoir être rapidement mis en œuvre.

Le RGPD impose certaines obligations en matière de prévention de violation des données personnelles et notamment :

  • La constitution de registres : registre des traitements (article 30 du RGPD), registre des violations de données (article 33 du RGPD) notamment. Ces registres permettent d’informer la CNIL des moyens sécuritaires mis en œuvre pour la protection des données;
  • La réalisation d’une analyse d’impact (article 35 du RGPD) comportant une étude des risques menaçant la sécurité des données;

Il est sécurisant pour les organismes de faire appel à un ingénieur en cybersécurité ou à des consultants indépendants pour élaborer leur stratégie de sécurité informatique.

Sensibiliser et former les équipes

Qu’il s’agisse de vos collaborateurs ou de vos sous-traitants, il est essentiel de sensibiliser chaque maillon de la chaîne à l**’importance de la protection des données personnelles**.

Pour éviter les intrusions dans vos systèmes, notamment lorsque les salariés sont en télétravail, ils doivent connaître les risques et savoir comment les éviter :

  • Repérer les mails de hameçonnage : ne pas cliquer sur les liens et pièces jointes douteuses. Incitez-les à vous faire part de ces messages pour pouvoir les signaler ;
  • Ne pas utiliser de réseaux Wifi publics ouverts ou prendre des précautions d’usage : en cas d’utilisation du Wifi ouvert, ne pas se connecter à des sites internets sensibles comme ceux de l’entreprise, ne pas effectuer d’achats en ligne, ne pas télécharger de mise à jour etc;
  • Repérer les faux sites web : un site web sécurisé dont l’adresse commence par « https » ;
  • Se protéger contre les attaques de rançongiciel : en sauvegardant régulièrement ses données, en identifiant les extensions de fichiers douteux etc;
  • Sécuriser la gestion des mots de passe : utiliser un mot de passe anonyme sans informations personnelles évidentes, éviter d’utiliser le même mot de passe pour tout ses comptes, changer régulièrement de mot de passe;
  • Sécuriser l’accès aux données personnelles : ne pas travailler sur des données personnelles dans un espace public, fermer sa session lorsque l’on quitte son poste de travail etc.

Le DPO (délégué à la protection des données), lorsqu’il en existe un dans l’organisme, est souvent chargé de toute la communication liée à la sécurité des données personnelles.

Leto propose notamment une solution de sensibilisation des équipes à la protection des données personnelles de manière automatisée et personnalisée.

Identifier les intrusions

Des contrôles doivent être mis en place pour gérer l’accès aux données personnelles. La surveillance n’est pas un manque de confiance, il s'agit simplement d’être en mesure de repérer des comportements à risques et/ou des tentatives de vol de données.

La mise en place de systèmes de détection pour identifier les incidents de sécurité et les risques d’attaque est fortement conseillée.

Réagir en cas d’attaque

Lorsqu’une attaque est avérée :

  • Rendez-vous sur la plateforme Cybermalveillance.gouv.fr afin de trouver de l’aide et des conseils pour identifier la nature de l'incident;
  • Signalez les escroqueries auprès du site www.internet-signalement.gouv.fr;
  • Portez plainte auprès du commissariat pour avoir une preuve à présenter à votre assurance;
  • En cas de violation de données personnelle :
  • Notifiez la CNIL dans les 72 heures (article 33 du RGPD);
  • Informez les personnes concernées en cas de violation grave de leur vie privée (article 34 du RGPD).

👉  Aucun organisme n’est réellement à l’abri d’un piratage de données personnelles. Toutefois, il est important de travailler à s’en prémunir et de bien réagir, le cas échéant. En effet, les violations de données personnelles peuvent être très sévèrement sanctionnées par la CNIL.

Pour mettre votre conformité RGPD sur autopilote, le logiciel RGPD Leto est là ! N'hésitez pas à réserver une démo de notre solution.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?