Rapport CNIL 2025 : les fuites de données changent d'échelle et de nature

Regards croisés entre Gaëlle Tilloy, Avocate à la Cour, spécialiste des nouvelles technologies et des données personnelles et Jérôme Beaufils, Président de SASETY

Avec plus de 6 100 violations de données notifiées en 2025, le dernier rapport annuel de la CNIL met en lumière une transformation profonde des menaces auxquelles sont confrontées les organisations. Industrialisation des cyberattaques, montée en puissance des compromissions d'identité, nouveaux risques liés à l'intelligence artificielle et renforcement des attentes du régulateur : au-delà des chiffres, c'est la nature même du risque cyber qui évolue.

Quels enseignements les entreprises doivent-elles en tirer ? Et comment adapter leur stratégie de sécurité à cette nouvelle réalité ?

Le rapport 2025 de la CNIL donne le sentiment d'un changement d'échelle. Est-ce votre lecture ?

Gaëlle Tilloy

Le rapport met en évidence une accélération du phénomène des violations de données.

Mais au-delà du volume, c'est surtout la nature des incidents qui interpelle. Nous ne sommes plus face à une succession d'événements isolés. Nous assistons à une multiplication de violations de grande ampleur qui concernent parfois plusieurs millions de personnes et touchent désormais l'ensemble des secteurs d'activité.

Cette massification change profondément la nature du risque. Une fuite qui concernait hier quelques milliers de personnes peut aujourd'hui affecter simultanément une part significative de la population.

Le rapport montre que les fuites de données ne changent pas seulement d'échelle. Elles changent également de nature et deviennent un enjeu majeur de résilience pour les organisations.

Jérôme Beaufils

Les constats présentés par la CNIL font largement écho aux situations que nous rencontrons sur le terrain.

Ce qui nous frappe aujourd'hui, ce n'est pas tant la sophistication des attaques que le niveau d'exposition de nombreuses organisations. Nous découvrons encore régulièrement des mots de passe faibles, des accès insuffisamment protégés, des comptes dormants ou des privilèges excessifs.

Les comptes à privilèges demeurent notamment l'un des points de fragilité les plus fréquents. Lorsqu'un attaquant parvient à compromettre ce type de compte, les conséquences peuvent être considérables.

Dans bien des cas, quelques faiblesses connues mais jamais corrigées suffisent à ouvrir la voie à une compromission.

Pourquoi les fuites de données prennent-elles une telle ampleur ?

Gaëlle Tilloy

Plusieurs facteurs se cumulent : la numérisation croissante des activités, la valeur économique des données et l'industrialisation des moyens utilisés par les cybercriminels.

Les données personnelles constituent désormais une ressource particulièrement recherchée. Elles peuvent être revendues, utilisées dans des campagnes de fraude ou servir de point d'entrée vers d'autres systèmes d'information.

L’intelligence artificielle va également permettre aux attaquants d’être encore plus rapides et plus efficaces, outre le fait que les systèmes d’intelligence artificielle eux-mêmes pourront être des cibles.

Jérôme Beaufils

Les attaquants recherchent avant tout l'efficacité.

Beaucoup d'incidents commencent par des scénarios relativement simples : un mot de passe réutilisé, un compte compromis, un accès fournisseur mal sécurisé ou une campagne d'hameçonnage réussie.

Nous observons également une professionnalisation importante des attaquants. Ils disposent désormais d'outils, de services et parfois même de véritables chaînes de sous-traitance qui leur permettent d'industrialiser leurs opérations.

Le chemin le plus simple reste souvent le plus efficace.

Le rapport met en avant les prestataires et les identités comme nouveaux points de fragilité. Pourquoi ?

Gaëlle Tilloy

Les organisations s'appuient de plus en plus sur des prestataires, des services cloud et des partenaires externes.

Le rapport rappelle que cette externalisation ne transfère pas la responsabilité. Les entreprises demeurent responsables de la protection des données qu'elles traitent, y compris lorsqu'une partie de leurs activités est confiée à des tiers.

Cette réalité élargit mécaniquement la surface d'exposition et impose une vigilance accrue sur l'ensemble de la chaîne de confiance.

Jérôme Beaufils

Nous constatons régulièrement que des comptes fournisseurs, des accès tiers ou des habilitations devenues obsolètes constituent des points d'entrée potentiels pour les attaquants.

Parallèlement, nous observons un déplacement progressif du risque vers les identités. Les cybercriminels cherchent désormais davantage à exploiter des identifiants valides qu'à contourner des protections techniques.

Un identifiant compromis peut permettre de lancer des attaques comme l’hameçonnage, de tenter une réinitialisation de mot de passe, d’ouvrir l'accès à des applications bancaires et métiers, d’accéder à des données sensibles ou à des systèmes critiques. L'identité est devenue l'une des principales cibles des attaquants et constitue le point de démarrage de plus de 90% des attaques à date.

Pourquoi la CNIL insiste-t-elle autant sur le MFA, la détection et la sensibilisation ?

Gaëlle Tilloy

Parce qu'une part importante des violations pourrait être évitée grâce à ces mesures.

80 % des violations de grande ampleur constatées par la CNIL en 2024 ont été permises par l’usurpation d'un compte protégé uniquement par un mot de passe. De nombreux incidents restent liés à des mesures de sécurité insuffisantes et la CNIL souhaite renforcer ses actions en matière de sécurité.

Jérôme Beaufils

Le MFA est devenu indispensable mais il ne suffit plus à lui seul.

La véritable question consiste désormais à comprendre qui se connecte, à quoi, dans quelles conditions et avec quel niveau de risque.

Les organisations doivent être capables de détecter rapidement les comportements inhabituels, les anomalies d'authentification, les élévations de privilèges suspectes ou les tentatives d'accès anormales.

Plus le délai de détection est court, plus les conséquences peuvent être limitées.

La sécurité repose aujourd'hui sur la combinaison de mécanismes préventifs, de capacités de détection et de dispositifs permettant de réagir rapidement lorsqu'un risque est identifié.

Le facteur humain reste-t-il le principal maillon faible ?

Gaëlle Tilloy

Je préfère dire que l'utilisateur est confronté à des attaques de plus en plus sophistiquées.

Une part significative des violations trouve encore son origine dans des erreurs humaines, mais cela signifie surtout que les organisations doivent intégrer cette réalité dans leur stratégie de protection.

Comme l’indique le rapport, il s’agit de « considérer l’humain comme un acteur de la sécurité » et « d’organiser des sensibilisations régulières adaptées aux profils d’utilisateurs (collaborateurs, développeurs, dirigeants, sous-traitants, etc.) ».

Jérôme Beaufils

Nous constatons surtout que les attaques exploitent désormais le quotidien des collaborateurs.

Les campagnes de phishing reproduisent parfaitement les communications d'un fournisseur, d'un client ou d'une administration. Certaines utilisent même l'intelligence artificielle pour personnaliser davantage leurs messages.

L'enjeu n'est donc plus seulement de sensibiliser les utilisateurs mais également de détecter rapidement lorsqu'un compte ou un comportement devient suspect.

La capacité à identifier ces signaux faibles et à réagir rapidement, idéalement de façon automatisée, devient un élément essentiel de la protection des organisations.

L'intelligence artificielle change-t-elle la donne ?

Gaëlle Tilloy

L'intelligence artificielle constitue l'un des sujets majeurs du rapport.

Les enjeux sont à la fois technologiques, juridiques et organisationnels. Les entreprises doivent se poser des questions de gouvernance, de confidentialité, de maîtrise des usages et de protection des données qu'elles partagent avec ces nouveaux outils.

La CNIL adopte une approche pragmatique. Elle ne cherche pas à freiner l'innovation mais à accompagner les organisations vers des usages maîtrisés et conformes à leurs obligations.

Jérôme Beaufils

L'enjeu n'est pas d'interdire l'IA mais d'en maîtriser les usages.

Dans quasiment toutes les organisations, les collaborateurs utilisent déjà quotidiennement des services d'IA générative, parfois sans que les équipes de sécurité ou de conformité n'en aient pleinement connaissance.

Les entreprises doivent donc être capables d'identifier quels services sont utilisés, quelles données sont partagées et quels risques peuvent être associés à ces usages.

Nous observons également une évolution importante : de plus en plus d'organisations développent leurs propres applications intégrant des modèles d'intelligence artificielle.

La question ne consiste alors plus uniquement à sécuriser les usages des collaborateurs mais également à protéger les applications d'IA elles-mêmes, les données qu'elles manipulent et les interactions avec les modèles utilisés.

Le rapport de la CNIL s'inscrit-il dans un mouvement plus large de renforcement des exigences ?

Gaëlle Tilloy

Entre NIS2, DORA, le RIA, les exigences croissantes des clients, les attentes des assureurs cyber et les obligations propres à certains secteurs d'activité, les organisations sont confrontées à une convergence de réglementations et d'exigences.

Toutes poursuivent finalement le même objectif : renforcer la résilience des organisations face à des menaces devenues structurelles.

La CNIL apporte une dimension complémentaire en rappelant que la protection des données personnelles constitue désormais l'un des piliers de cette résilience.

Jérôme Beaufils

Les mêmes questions reviennent désormais dans les audits, les appels d'offres, les questionnaires assureurs ou les démarches de conformité.

Les organisations doivent démontrer qu'elles protègent leurs identités, qu'elles surveillent leurs accès, qu'elles détectent les comportements anormaux et qu'elles sont capables de réagir rapidement en cas d'incident.

La démonstration devient presque aussi importante que la protection elle-même.

Cette évolution traduit une attente croissante de visibilité, de pilotage et de mesure du risque cyber.

Pourquoi une fuite de données ne marque-t-elle pas la fin du risque cyber ?

Jérôme Beaufils

Les données ou les identifiants compromis lors d'un premier incident sont réutilisés plusieurs semaines ou plusieurs mois plus tard pour mener d'autres attaques.

C'est pourquoi les organisations doivent disposer d'une visibilité continue sur leurs identités, leurs accès et leurs expositions potentielles.

La capacité à suivre l'évolution du risque dans le temps devient aussi importante que la capacité à réagir à l'incident initial.

Une fuite de données n'est souvent que le point de départ d'une chaîne d'événements qu'il faut être capable d'identifier et de maîtriser dans la durée.

Comment les organisations peuvent-elles concrètement répondre aux attentes exprimées par la CNIL ?

Jérôme Beaufils

Le rapport met en évidence plusieurs priorités : renforcer la protection des identités, détecter plus rapidement les comportements anormaux, maîtriser les usages de l'intelligence artificielle, mieux sécuriser les accès et être capable de démontrer l'efficacité des mesures mises en œuvre.

La difficulté est que ces enjeux sont souvent traités séparément alors qu'ils sont étroitement liés.

Une tentative d'hameçonnage, une authentification suspecte, une exposition de privilèges, un comportement réseau inhabituel ou une utilisation inappropriée d'un service d'intelligence artificielle peuvent sembler être des événements distincts. Pourtant, lorsqu'ils concernent le même utilisateur, ils révèlent parfois un risque beaucoup plus important.

Les organisations ont donc besoin d'une vision consolidée de leur exposition au risque afin d'identifier rapidement les utilisateurs, les accès ou les actifs les plus sensibles.

Cette visibilité doit s'accompagner d'une capacité à mesurer en continu l'efficacité des dispositifs de sécurité déployés. Les attentes des régulateurs, des clients ou des assureurs ne portent plus uniquement sur les moyens mis en œuvre mais également sur leur capacité à produire les résultats attendus.

Enfin, la détection doit pouvoir déboucher sur des actions concrètes et, dans le meilleur des cas,automatisées. Renforcement de l'authentification, limitation temporaire des accès, réinitialisation de mots de passe, contrôle complémentaire ou investigation : la réduction du risque repose de plus en plus sur la capacité des différentes briques de sécurité à partager leurs informations et à agir de manière coordonnée.

L'enjeu n'est donc plus d'empiler les solutions mais de construire une approche cohérente permettant de comprendre, mesurer, réagir et réduire le risque dans la durée.

En définitive, quel message les organisations doivent-elles retenir de ce rapport ?

Gaëlle Tilloy

Au-delà du constat, ce rapport traduit une évolution profonde des attentes du régulateur.

La CNIL ne demande plus seulement aux organisations de mettre en place des mesures de sécurité. Elle attend désormais qu'elles soient en mesure de démontrer leur pertinence leur cohérence et leur efficacité dans la durée.

La cybersécurité devient ainsi un sujet de gouvernance à part entière, au même titre que la conformité, la gestion des risques ou la continuité d'activité.

Les entreprises doivent également prendre conscience que la protection des données personnelles et la cybersécurité ne constituent plus deux sujets distincts. Elles participent désormais d'un même objectif : préserver durablement la confiance des clients, des collaborateurs et des partenaires.

Face à des menaces qui se professionnalisent et changent d'échelle, les organisations doivent adopter une démarche continue d'évaluation, d'amélioration et de maîtrise de leurs risques numériques.

Jérôme Beaufils

Le rapport rappelle finalement que les organisations connaissent aujourd'hui les principaux risques auxquels elles sont exposées.

Le défi consiste désormais à transformer cette connaissance en capacité d'action.

Protection des identités, maîtrise des accès, détection des comportements anormaux, sécurisation des usages numériques ou validation régulière du niveau de sécurité ne peuvent plus être traitées séparément.

Les entreprises ont besoin d'une vision unifiée du risque leur permettant de prioriser leurs actions et de démontrer l'efficacité de leurs dispositifs dans la durée.

Plus que jamais, l'enjeu n'est pas d'empiler les outils mais de construire une approche cohérente permettant de réduire efficacement et dans la durée le risque cyber.