Archives par mot-clé : violation de données

Cybersécurité, Entreprise, Justice, Securite informatique

La CNIL sanctionne Nexpubica pour le logiciel PCRM

Une fuite fonctionnelle a exposé des dossiers d’usagers à des tiers dans des portails d’action sociale. Trois ans plus tard, la CNIL inflige 1,7 million d’euros pour défauts de sécurité jugés élémentaires.

Le 22 décembre 2025, la CNIL a condamné NEXPUBLICA FRANCE à 1 700 000 euros d’amende pour insuffisance de mesures de sécurité autour de PCRM, un progiciel de gestion de la relation usagers utilisé dans l’action sociale, notamment par des MDPH. Fin novembre 2022, des clients ont signalé à la CNIL que des utilisateurs accédaient à des documents appartenant à des tiers. Les contrôles ont mis en évidence des faiblesses techniques et organisationnelles, des vulnérabilités connues via des audits, et des corrections tardives, après la violation. La sensibilité des données, dont certaines révèlent un handicap, a pesé lourd.

Le déclencheur : des usagers voient les documents d’autrui

Le dossier démarre par une alerte venue du terrain. Fin novembre 2022, des clients de NEXPUBLICA FRANCE notifient à la CNIL une violation de données personnelles après des signalements d’usagers : sur le portail, certains auraient consulté des documents concernant des tiers. Ce type d’incident est redouté en environnement social, car l’accès indu, même « par erreur », produit un dommage immédiat pour les personnes, et expose l’organisation à une perte de confiance durable.

La CNIL intervient alors par des contrôles auprès de l’éditeur. Le contexte est celui d’un logiciel métier, PCRM, destiné à gérer la relation avec les usagers de l’action sociale et utilisé, selon les éléments fournis, par des maisons départementales des personnes handicapées dans certains départements. Autrement dit, la chaîne de traitement ne se limite pas à un site web : elle relie des collectivités, des agents, des workflows administratifs, et des espaces de dépôt ou de consultation de pièces justificatives.

Dans une lecture cyber, l’incident ressemble à une brèche de cloisonnement. Quand un usager obtient des pièces qui ne lui appartiennent pas, l’hypothèse la plus simple n’est pas un « piratage spectaculaire » mais un défaut de contrôle d’accès, de gestion de session ou de logique applicative. C’est précisément ce que la CNIL sanctionne ici : une sécurité qui n’a pas été pensée au niveau du risque réel, alors que le produit traite des données particulièrement sensibles.

Pourquoi l’article 32 du RGPD pèse si lourd dans ce cas

La CNIL fonde la sanction sur l’obligation de sécurité prévue par l’article 32 du RGPD. Le principe est connu, mais il mérite d’être traduit en termes concrets : le responsable de traitement et le sous-traitant doivent mettre en place des mesures adaptées au risque, en tenant compte de l’état de l’art, du coût de mise en œuvre, et de la nature et des finalités du traitement. Ici, la nature du traitement est déterminante : le dossier concerne l’action sociale et inclut des informations pouvant révéler un handicap. La sensibilité intrinsèque augmente mécaniquement le niveau d’exigence attendu.

La formation restreinte, organe de la CNIL chargé des sanctions, retient une faiblesse « généralisée » du système d’information et une forme de négligence, avec des problèmes structurels laissés en place dans la durée. L’autorité relève aussi que la plupart des vulnérabilités constatées relevaient d’un manque de maîtrise de l’état de l’art et de principes de base en sécurité. C’est un point clé : ce reproche ne vise pas une sophistication technique manquante, mais l’absence de fondamentaux.

Le raisonnement suivi par la CNIL, tel qu’il est décrit, tient en trois étapes. Premièrement, des failles existent dans PCRM et exposent des données. Deuxièmement, ces failles étaient identifiées, notamment au travers de plusieurs audits. Troisièmement, malgré cette connaissance, les corrections n’ont été apportées qu’après les violations. Cette chronologie aggrave l’appréciation, car elle transforme une vulnérabilité en manquement persistant, donc en risque accepté par défaut.

Une sanction calibrée sur la sensibilité, l’ampleur et la posture d’éditeur

Le montant, 1 700 000 euros, est justifié par plusieurs critères mentionnés : capacités financières de la société, non-respect de principes élémentaires, nombre de personnes concernées, et sensibilité des données. L’addition de ces facteurs compose une logique de proportionnalité : plus les données sont intimes et le public vulnérable, plus l’exposition est grave ; plus les failles sont « basiques » et connues, plus l’inaction est difficile à défendre.

Le dossier comprend un élément de contexte qui pèse lourd politiquement : NEXPUBLICA FRANCE est spécialisée dans la conception de systèmes et logiciels informatiques. Pour la CNIL, cette spécialisation rend l’argument de l’ignorance moins crédible. Dans une approche de renseignement économique, cela renvoie aussi à l’enjeu de chaîne d’approvisionnement logicielle : quand un éditeur fournit des briques à des acteurs publics, la faiblesse d’un produit peut se répercuter sur des services essentiels et sur des populations sensibles, sans qu’il y ait besoin d’une attaque sophistiquée.

La formation restreinte n’a pas assorti la sanction d’une injonction de mise en conformité, car l’entreprise a déployé les correctifs nécessaires après les violations. Ce détail compte : il montre que l’autorité a choisi de sanctionner l’insuffisance initiale et la gestion tardive des risques, tout en constatant une remédiation effective. En clair, la conformité obtenue après coup n’efface pas le défaut de sécurité au moment où les données étaient exposées.

Cybersécurité, Entreprise

10 améliorations cyber lorsque vos employés retournent au bureau

Selon les résultats d’un sondage, 77 % des décideurs informatiques aux États-Unis et au Canada pensent que leurs entreprises seront probablement confrontées à une violation de données au cours des trois prochaines années.

Les répondants à l’enquête ont classé la sécurité des données comme l’élément qui a le plus changé la donne en 2023, alors que les entreprises continuent de renforcer leur préparation à la cybersécurité : 68 % des responsables interrogés déclarent que leur entreprise a une division de cybersécurité et 18 % supplémentaires déclarent qu’ils sont en train d’en créer une. Seuls 6 % des répondants ont déclaré ne pas avoir de division de cybersécurité.

« L’augmentation des incidents de violation de données en Amérique du Nord est troublante et doit être priorisée alors que les employés continuent de retourner en personne à leur siège social« , explique Kuljit Chahal, responsable de la pratique, Sécurité des données chez Adastra North America.

« Pendant la pandémie, de nombreux employés ont été embauchés virtuellement et, en combinaison avec de longues absences des bureaux, les introductions et la re-familiarisation avec les protocoles de sécurité seront essentielles« , ajoute Chahal.

La sensibilisation des employés aux meilleures pratiques en matière de sécurité des données est essentielle. Selon le rapport Verizon Data Breach Investigations 2022, 82 % des violations de données sont causées par une erreur humaine et les entreprises de toutes tailles sont à risque.

Dans notre rôle d’experts en sécurité des données, nous avons constaté que certaines entreprises, en particulier les plus petites, peuvent être bercées par un faux sentiment de sécurité en pensant que les auteurs ne s’en soucieront pas – ce n’est absolument pas le cas.

Les résultats de cette enquête devraient rappeler que les entreprises de toutes tailles doivent investir dans la protection, les ressources et l’éducation en matière de sécurité des données, en particulier lorsque nous reprenons les activités au bureau.

Le coût d’une violation peut être important et bien supérieur à ce que coûtera un audit d’une entreprise de sécurité des données. Selon Statista, le coût moyen d’une violation de données aux États-Unis est passé à 9,4 millions de dollars en 2022, contre 9 millions de dollars l’année précédente.

10 améliorations de la sécurité des données

Menaces internes – rééducation des employés sur les systèmes et les protocoles

La divulgation non autorisée de données n’est pas toujours le résultat d’acteurs malveillants. Souvent, les données sont accidentellement partagées ou perdues par les employés. Tenez vos employés informés grâce à une formation sur la cybersécurité. Les employés qui passent régulièrement des tests de phishing peuvent être moins susceptibles d’interagir avec des acteurs malveillants par e-mail ou par SMS.

Connaissez votre inventaire

Un inventaire des actifs logiciels, matériels et de données est essentiel. Avoir le contrôle des actifs avec accès à votre environnement d’entreprise commence par un inventaire. Les inventaires peuvent faire partie du programme global de gestion des vulnérabilités pour maintenir tous les actifs à jour, y compris les systèmes d’exploitation et les logiciels.

De plus, un inventaire ou un catalogue de données identifie les données sensibles, ce qui permet de placer des contrôles de sécurité appropriés tels que le cryptage, les restrictions d’accès et la surveillance sur les données les plus importantes.

Supprimer les données redondantes

La réduction de votre empreinte globale de données peut être un moyen efficace de réduire les risques. Les données qui résident dans plusieurs emplacements peuvent ne pas bénéficier d’une protection égale dans chaque environnement. Comprendre quelles données sont nécessaires et ce qui peut être archivé aide à garder le contrôle sur les actifs de données.

Systèmes de détection précoce

La détection d’anomalies et d’activités suspectes peut résoudre les problèmes avant qu’ils ne deviennent une violation. Les systèmes XDR (détection et réponse étendues) et EDR (détection et réponse des terminaux) actuels incluent des réponses automatisées aux attaques courantes.

Par exemple, supposons qu’un employé télécharge une pièce jointe malveillante. Dans ce cas, le système EDR peut empêcher l’exécution du malware caché à l’intérieur et alerter le personnel de sécurité.

Ces systèmes de détection peuvent être surveillés par le personnel de cybersécurité interne ou surveillés par des sociétés de sécurité tierces qui peuvent alerter la direction des incidents au fur et à mesure qu’ils se produisent.

Une veille du web malveillant (darkweb, Etc.) est un outil indispensable. Le service veille ZATAZ a, par exemple, détecté pas moins d’un milliards de données volés par des pirates entre le 1er janvier 2023 et le 13 février 2023. Rien que les fuites Twitter et Deezer additionnent 500 millions d’informations d’usagers.

Sauvegardes de données

Disposer d’un plan de sauvegarde des données robuste et immuable peut aider une organisation à se remettre rapidement d’un incident. La fréquence de la sauvegarde des données dépend du risque que l’organisation est prête à prendre. « Pouvons-nous nous permettre de perdre une semaine de données ou une journée de données ?« 

Limiter l’accès du personnel

L’utilisation du principe du moindre privilège réduit le risque global en autorisant uniquement l’accès aux données et aux services nécessaires à l’exécution de tâches spécifiques. L’établissement de processus de provisionnement et de déprovisionnement de l’accès des utilisateurs avec des approbations, des pistes d’audit, des rapports et des attestations régulières peut limiter ce à quoi un attaquant peut être en mesure d’accéder en cas d’informations d’identification compromises.

Il n’est pas rare que les utilisateurs finaux disposent d’un accès administratif illimité à leurs ordinateurs portables. Cela permet aux utilisateurs d’installer des logiciels non autorisés ou d’être plus facilement la cible d’attaques de logiciels malveillants.

Engagez une entreprise tierce pour effectuer un audit de sécurité – connaissez vos vulnérabilités

Une évaluation externe de la posture de sécurité de votre organisation, basée sur des cadres de cybersécurité établis tels que NIST ou CIS , peut fournir une image plus claire des forces et des faiblesses et une feuille de route pour remédier à vos plus grandes vulnérabilités.

Établissez de nouveaux mots de passe avec une authentification à deux facteurs

Traditionnellement, les utilisateurs sont authentifiés par l’une des trois méthodes suivantes :

Ce que vous savez (mot de passe)
Ce que vous avez (carte d’accès ou code d’accès à usage unique)
Ce que vous êtes (biométrie)
L’ajout d’un deuxième facteur à l’authentification par mot de passe omniprésent ajoute une autre couche de sécurité pour l’accès.

Mettez à jour vos programmes informatiques avec les dernières fonctionnalités de sécurité

La plupart des violations de données se produisent parce qu’une vulnérabilité connue a été exploitée. La mise en place d’un programme de gestion des vulnérabilités qui analyse régulièrement les actifs logiciels et applique des correctifs est l’une des activités de sécurité les plus cruciales qu’une entreprise puisse effectuer.

Sécurité physique

Au fur et à mesure que les employés retourneront au bureau, il y aura des employés qui reviendront au bureau pour la première fois. Il peut être nécessaire de renforcer les politiques de bureau propre et de revoir les contrôles d’accès physique, y compris l’accès aux zones sécurisées, pour s’assurer que les actifs ne sont pas volés ou perdus.

Les employés travaillant à domicile qui possèdent des actifs de l’entreprise doivent être régulièrement formés à la sécurité de ces actifs lorsqu’ils sont à la maison, comme ils le feraient au bureau.