Alors que les opérateurs télécoms sont de plus en plus ciblés par des cyberattaques de grande ampleur, les enseignements de 2024 doivent guider les pratiques de cybersécurité en 2025. La CNIL a enregistré 5 629 violations de données personnelles l’an passé, un record marqué par une explosion des incidents touchant plus d’un million de personnes. Parmi les acteurs concernés : des opérateurs comme Free, qui ont fait l’objet de fuites massives exposant les données de millions de clients. Le besoin d’une sécurisation systémique, tant au niveau des infrastructures que des sous-traitants, s’impose comme une priorité.
Les failles les plus fréquentes révélées par les attaques
Les notifications recueillies par la CNIL révèlent des points de fragilité constants : identifiants compromis, SI exposés, habilitations trop larges, et absence de détection. Les modes opératoires varient peu : l’attaquant obtient des identifiants (via phishing ou marché noir), accède au SI, cartographie les données, extrait des volumes massifs, puis les revend. Des défaillances basiques — comme l’absence d’authentification multifactorielle ou des mots de passe réutilisés — continuent de causer des dommages massifs.
Quelques exemples de mesures concrètes attendues en cybersécurité des données
Face à la recrudescence des attaques informatiques ciblant les systèmes d’information, la mise en œuvre de mesures techniques et organisationnelles robustes est devenue un impératif. Ces mesures, bien que souvent citées, doivent être appliquées avec rigueur, cohérence et évolutivité pour répondre aux menaces actuelles. Voici un décryptage détaillé des principales actions attendues par les régulateurs — comme la CNIL — et les experts du secteur.
1. Mise en œuvre systématique de l’authentification multifactorielle (MFA)
L’authentification par mot de passe seul n’est plus suffisante. Pour tous les accès sensibles — administrateurs systèmes, VPN, applications SaaS, espaces clients, serveurs critiques — il est impératif de déployer une authentification multifactorielle. Cette couche supplémentaire (code OTP, application mobile, clé FIDO2, etc.) permet de contrer les accès non autorisés même en cas de compromission d’identifiants. Le MFA est aujourd’hui un socle de base de toute politique de cybersécurité digne de ce nom.
2. Cloisonnement granulaire des droits d’accès
L’un des vecteurs d’amplification des attaques réside dans des droits d’accès trop larges. Il est crucial de segmenter les accès aux données selon des critères précis : rôle métier, périmètre fonctionnel, localisation géographique, durée de mission. Ce cloisonnement empêche un utilisateur compromis de devenir une porte d’entrée vers l’ensemble du système. Il convient aussi d’appliquer le principe du moindre privilège et de réévaluer régulièrement les droits accordés.
Surveillance des flux sortants et détection d’anomalies
Un point souvent sous-estimé : le contrôle des exports de données. La mise en place d’un SIEM (Security Information and Event Management) ou d’un NDR (Network Detection & Response) permet d’analyser les flux sortants, d’identifier des comportements anormaux (volumes inhabituels, accès en dehors des heures normales, géolocalisations incohérentes) et de déclencher des alertes en temps réel. C’est un levier essentiel pour stopper une exfiltration avant qu’elle ne soit finalisée.
4. Politique de journalisation complète et auditabilité
Journaliser les accès à l’ensemble des couches du SI — bases de données, APIs, systèmes, réseaux — permet non seulement une traçabilité rétrospective en cas d’incident, mais aussi une détection précoce via des corrélations d’événements. Ces journaux doivent être horodatés, stockés de façon sécurisée (idéalement en WORM : Write Once Read Many) et intégrés à une procédure de supervision continue. Cette politique constitue un pré-requis réglementaire pour de nombreux secteurs (santé, finance, administration).
5. Réduction active de la surface d’attaque
Limiter l’exposition du système au strict nécessaire est fondamental. Cela inclut l’interdiction des comptes génériques ou partagés, souvent impossibles à tracer correctement, mais aussi la fermeture systématique des ports inutilisés ou obsolètes. Chaque ouverture vers l’extérieur (RDP, SSH, API non protégée) doit faire l’objet d’une revue de risques et d’une supervision accrue. Moins d’exposition, c’est moins d’opportunités pour les attaquants.
6. Encadrement contractuel renforcé des sous-traitants
Trop d’incidents récents ont révélé des failles venant de prestataires externes. Il est indispensable de formaliser, dans chaque contrat, des clauses de sécurité précises : chiffrement des flux, gestion des habilitations, réversibilité des données, notification en cas d’incident, audits réguliers. Le respect du RGPD impose également de vérifier que les garanties contractuelles sont alignées sur les obligations légales, sous peine d’engager la responsabilité du donneur d’ordre.
Défense en profondeur : un changement de culture à terme ?
En 2025, la CNIL oriente son plan stratégique vers une « défense en profondeur ». Il ne s’agit plus seulement de filtrer les accès au périmètre du réseau, mais de segmenter, cloisonner, tracer chaque opération. Pour les opérateurs comme Free, Orange, SFR ou Bouygues, cela signifie repenser l’architecture de sécurité des messageries, des interfaces clients et des API partenaires. Le RGPD impose aux responsables de traitement — y compris les sous-traitants — de déployer des mesures proportionnées au risque. Ce principe est désormais réaffirmé avec force par la régulation.
Utilisateurs : aux premières lignes de défense
Les fuites de données affectent toujours plus d’individus. L’usage de mots de passe uniques, la prudence face au phishing et la vigilance quant aux connexions VPN gratuites doivent devenir des réflexes. Les opérateurs doivent renforcer la pédagogie auprès de leurs abonnés et intégrer des interfaces d’alerte ou de vérification de fuite directement dans les espaces abonnés. C’est dans l’alliance entre fournisseurs et utilisateurs que se construira une résilience durable face aux cybermenaces.