Face à des menaces de plus en plus complexes, entreprises, administrations et citoyens doivent renforcer collectivement leur vigilance numérique.
Dans un contexte marqué par une recrudescence inédite des attaques informatiques, la présidente de la CNIL a pris la parole en séance plénière au Forum InCyber, événement de référence pour les professionnels de la cybersécurité. Face à une salle réunissant décideurs publics et privés, experts techniques (RSSI, DSI…) et représentants du monde économique, Marie-Laure Denis a dressé un constat sans détour : 2024 a été l’année de tous les records en matière de violations de données personnelles, avec une hausse de 20 % des incidents signalés.
La CNIL, un acteur central de la cybersécurité
Depuis sa création, la CNIL veille à ce que la protection des données reste une priorité dans le développement numérique du pays. Mais les événements récents révèlent une intensification des menaces, qui ne concernent plus seulement les grandes entreprises ou les institutions. PME, collectivités, particuliers : l’ensemble du tissu économique et social est exposé. Pour répondre à cette situation, l’autorité de régulation déploie un plan stratégique ambitieux pour la période 2025-2028, dont l’un des fondements est clair : «faire de chacun un acteur de la cybersécurité», affirme Marie-Laure Denis.
Vers un changement de culture numérique
Aussi, la présidente insiste sur l’urgence de transformer en profondeur l’approche collective de la cybersécurité. Si les failles techniques demeurent nombreuses, les comportements humains sont souvent à l’origine des incidents. L’objectif n’est donc pas seulement d’imposer des outils ou des protocoles, mais de diffuser une culture de la sécurité au sein de toutes les organisations. La cybersécurité ne doit plus être perçue comme un sujet réservé aux experts informatiques. Elle devient, selon les mots de la CNIL, «une responsabilité partagée, à tous les niveaux de l’entreprise comme de la société».
PME, retail, e-commerce : des cibles de plus en plus exposées
Les secteurs du commerce et du numérique sont particulièrement concernés. Très exposés en raison du volume et de la sensibilité des données qu’ils manipulent, ces acteurs doivent faire face à une sophistication croissante des attaques. Ransomware, phishing, fuites internes : les causes sont multiples. Or, dans 80 % des cas recensés en 2024, les violations auraient pu être évitées par des mesures de base. Marie-Laure Denis insiste : trop de petites structures sont encore vulnérables, faute de moyens ou de sensibilisation suffisante.
Encadrer l’innovation sans freiner le progrès
Parmi les axes majeurs du nouveau plan stratégique de la commission, l’intelligence artificielle occupe une place centrale. La CNIL entend accompagner son développement en posant des garde-fous concrets. Elle a publié des fiches pratiques à destination des concepteurs de systèmes d’IA, en lien avec les exigences du RGPD. Cette régulation vise à anticiper les dérives tout en permettant aux entreprises de continuer à innover dans un cadre juridique clair.
Le Zero Trust, entre efficacité et vigilance
Fait marquant, le modèle de sécurité «Zero Trust» (aucune confiance), qui gagne en popularité, repose sur la méfiance systématique à chaque point d’accès. Il offre des garanties techniques fortes en matière de contrôle des flux et d’authentification, mais il soulève aussi des questions. Pour la CNIL, il est essentiel que cette approche ne débouche pas sur une surveillance généralisée. La protection des libertés individuelles doit rester un repère central, même dans un contexte de risques accrus. L’enjeu est donc d’assurer un équilibre entre sécurité renforcée et respect de la vie privée, notamment dans les environnements de travail hybrides.
Une vigilance accrue sur les données sensibles
Au-delà des outils techniques, la CNIL entend renforcer son rôle de contrôle. Elle indique surveiller de près la bonne application de ses recommandations, notamment dans les domaines du cloud, des applications mobiles ou de l’identité numérique. Ces usages, devenus courants, exposent les utilisateurs à des risques accrus de fuite de données sensibles. L’autorité rappelle que ses ressources pédagogiques sont largement consultées — plus de 12 millions de visites par an — et que l’accompagnement des entreprises fait partie intégrante de sa mission.
Sensibiliser les publics, dès le plus jeune âge
Parce que les comportements individuels comptent, la commission mène également des actions de sensibilisation auprès du grand public et des jeunes générations. L’opération Cactus, lancée avec plusieurs ministères (dont le ministère de l’Éducation nationale), a permis de toucher plus de trois millions d’élèves. Un quart d’entre eux ont cliqué sur un lien piégé, démontrant à quel point la vigilance reste perfectible. Marie-Laure Denis y voit une confirmation : il faut former les citoyens de demain aux bons réflexes numériques, dès le plus jeune âge.
La cybersécurité, enjeu collectif et durable
En conclusion, Marie-Laure Denis appelle à une mobilisation à la hauteur des enjeux. «La situation doit changer. 2025 doit être l’année d’une prise de conscience collective.» Si les grandes entreprises montrent des signes de maturité, leur exemple doit faire tache d’huile. Pour les professionnels du digital, du commerce et du e-commerce, la sécurité des données ne peut plus être considérée comme un simple sujet technique. Elle devient un levier de confiance, de résilience et, in fine, de compétitivité.
Alors que la directive européenne NIS 2 impose de nouvelles exigences (pour les entités concernées), les marques sont désormais face à un impératif stratégique : intégrer la cybersécurité dans toutes les strates de leur organisation. Car demain, c’est bien la confiance numérique qui fera la différence.
Je souhaite lire les prochains articles des Clés du Digital, JE M’INSCRIS A LA NEWSLETTER
Laisser un commentaire