Le phishing, ou hameçonnage, consiste à voler l’identité, ou les informations confidentielles d’une victime, telles que des codes d’accès, des coordonnées bancaires, par un subterfuge. L’attaquant simule un système d’authentification afin de convaincre l’utilisateur de communiquer ses informations confidentielles en pensant avoir à faire au système légitime. Les victimes sont souvent invitées à visiter le site frauduleux par des courriers électroniques.

Cet hameçonnage peut être ciblé : dans ce cas, il repose sur l’usurpation de l’identité de l’expéditeur et lie l’objet du mail ainsi que le corps du message à l’activité de la victime ciblée.

L’hameçonnage est la première menace pour les particuliers et de la seconde pour les entreprises et associations (selon le rapport d’activité de 2023 de cybermalveillance).

Comment se protéger contre de telles attaques ?

• Ne jamais communiquer d’informations sensibles par messagerie ou téléphone
• Ne pas cliquer sur des liens douteux : il est possible de faire apparaitre l’URL du lien en positionnant la souris sur ce lien sans cliquer pour vérifier la vraisemblance du lien avec le site vis. Le plus sur est encore d’aller directement sur le site de l’organisme par un lien créé directement par vous
• Vérifier l’adresse du site qui s’affiche dans le navigateur : attention parfois un seul caractère change
• Contacter directement l’organisme concerné pour confirmer le message reçu
• Utiliser des mots de passe différents et complexes pour chaque site / application pour éviter qu’un vol de mot de passe ne permette de compromettre plusieurs comptes. Il est également possible d’utiliser des coffres forts numériques permettant de stocker de façon sécurisée les mots de passe
• Vérifier la date et heure de la dernière connexion sur votre compte dès que possible afin de s’assurer de l’absence d’accès illégitime
• Activer la double authentification à chaque fois que cela est proposé

Une bonne pratique consiste à faire des simulations au sein de l’organisme. Le service informatique peut simuler de fausses campagnes de phishing dans le but de sensibiliser l’ensemble des collaborateurs. Cela peut ensuite donner lieu à des campagnes de rappels des bonnes pratiques.

Comment réagir face à ce type d’attaque ?

En cas de suspicion ou d’attaque par hameçonnage, contactez directement l’organisme concerné pour confirmer, ou non, les messages reçus. Il faut également faire opposition en cas de fraude concernant des éléments liés aux moyens de paiement, et changer les mots de passe des sites qui auraient pu être concernés.

Par ailleurs, il existe différents lieux où signaler les sites frauduleux : Signal spam, dont la CNIL est membre, permet de signaler les messages et sites douteux. Il est également possible de signaler par SMS au 33 700 (service gratuit), dispositif de signalement des messages et appels non sollicités mis en place par l’Association Française pour le développement des services et usages Multimédias Multi-opérateurs (af2m). Enfin, il est possible de signaler auprès de Phishing Initiative, service porté par Orange Cyberdéfense.

Pour rappel, les attaques par hameçonnage peuvent impliquer des violations de données à caractère personnel. C’est d’ailleurs ce que la CNIL rappelle dans son bilan concernant les violations de données : plus de la moitié des violations de données trouvaient leur source dans du piratage, avec au deuxième rang l’hameçonnage touchant davantage les organismes du secteur public. Ainsi, dès lors que ce type d’attaque intervient il faut vérifier si elles ont engendré une violation de données personnelles et, le cas échéant, les notifier à l’autorité de contrôle, et aux personnes concernées.

• Définition phishing et phishing ciblé – Cyberdico ANSSI
• Que faire en cas de phishing ou hameçonnage ?– Cybermalveillance
• L’hameçonnage (phishing) : la menace prédominante pour tous les publics – Cybermalveillance
• Violations de données personnelles : bilan de 5 années de RGPD – CNIL

24 octobre 2024

Le principe d’intégrité et de confidentialité est un des six principes fondamentaux encadrant le traitement des données à caractère personnel. Il impose que les données à caractère personnel soient traitées en garantissant la sécurité appropriée. Le responsable de traitement doit, à ce titre, mettre en œuvre les mesures de sécurité suffisantes, et adaptées afin de s’assurer qu’aucun accès et/ou aucune modification non autorisé ou illicite, et qu’aucune perte, destruction, ou dégâts accidentels n’intervienne sur les données.

Aussi, le responsable de traitement devra évaluer le risque que son traitement fait peser sur les personnes concernées afin de déterminer les mesures de sécurité adéquates. La règlementation n’établit pas une liste de mesures de sécurité à mettre en place, c’est au responsable de traitement de déterminer ce qui est nécessaire. En effet, les mesures doivent être adaptées aux risques que génère le traitement de données, il est difficile d’établir une liste « fixe » de mesures devant être mises en place. Si chaque responsable de traitement doit apprécier concrètement les mesures nécessaires, il est des mesures de sécurité élémentaires, tel que les anti-virus, les mots de passe, ….

A ce titre, la CNIL a élaboré un guide pratique de la sécurité des données personnelles (mis à jour en 2024) composé de 25 fiches, ainsi qu’une fiche d’auto-évaluation de la sécurité de l’organisme. L’ANSSI, Agence nationale de la sécurité des systèmes d’information, publie régulièrement des guides de sécurité, et des informations concernant les failles de sécurité etc.

Par ailleurs, une fois définies et mises en place, ces mesures de sécurité doivent être réexaminées régulièrement et tout au long de la vie du traitement. Chaque évolution dans la vie du traitement doit être analysé afin de s’assurer de la pertinence des mesures de sécurité en place. Qu’il s’agisse de nouvelles catégories de données, de nouvelles catégories de personnes, ou encore de modifications dans les prestataires /sous-traitants, toutes ces évolutions peuvent avoir un impact sur la sécurité du traitement. Par exemple, l’ajout de nouvelles catégories de personnes, qui plus est de personnes vulnérables (voir en ce sens les lignes directrices du G29 concernant les analyses d’impact) est susceptible d’engendrer des risques pour les personnes concernées différents, et supérieurs à ceux représentés par un traitement de données qui ne concerne que des personnes non vulnérables». Ainsi les mesures de sécurité doivent être réévaluées afin de couvrir ce nouveau cas de figure.

De plus, outre l’évolution des risques induits par le traitement en lui-même, il est indispensable de prendre en compte l’évolution des risques induits par l’état de l’art. La cybersécurité et la sécurité de l’informatique sont des domaines en constante évolution. Ce faisant, les mesures de sécurité adaptées à un instant T peuvent être dépassées quelques temps plus tard. Il est donc indispensable de réévaluer régulièrement celles mises en place au sein de l’organisme, afin de s’assurer de respecter le principe d’intégrité et de confidentialité des données.

• Article 5 du RGPD – Principes relatifs au traitement des données à caractère personnel
• Article 4 – Loi relative à l’informatique, aux fichiers et aux libertés, du 6 janvier 1978 n°78-17
• Guide sécurité des données personnelles, version 2024, CNIL
• CEPD – Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679

Date de mise à jour : 24.09.2024

Retrouvez toutes nos formations en cliquant sur le lien suivant vigier-avocats.com/nos-formations/

Retrouvez toutes nos formations en cliquant sur le lien suivant vigier-avocats.com/nos-formations/

Retrouvez toutes nos formations en cliquant sur le lien suivant vigier-avocats.com/nos-formations/

Retrouvez toutes nos formations en cliquant sur le lien suivant : https://www.vigier-avocats.com/nos-formations/