La CNIL va rendre obligatoire la double authentification face à l'explosion des fuites de données massives

L'année 2024 a été marquée par une recrudescence sans précédent des cyberattaques et des fuites de données en France, et 2025 est partie sur les mêmes bases. C'est le constat dressé ce mardi 29 avril par la Commission nationale de l'informatique et des libertés (CNIL) dans son bilan annuel. L'autorité chargée de la protection de la vie privée des Français a recensé 5.629 violations l'an dernier, soit 20% de plus qu'en 2023. Et la tendance s'accélère : plus de 2.500 fuites de données ont déjà été signalées au premier trimestre 2025, soit près de la moitié du total annuel précédent. 

Plus inquiétant, le nombre de violations qui concernent des bases de données de plus d'un million de personnes a doublé entre 2023 et 2024. Des cyberattaques très médiatisées, chez France Travail, l'opérateur Free, le distributeur Auchan et les opérateurs du tiers payant Viamedis et Almerys ont potentiellement exposé les renseignements de dizaines de millions de Français l'an dernier.

Face à cette explosion des risques, la CNIL passe à l'offensive. Le régulateur exigera bientôt des entreprises et organismes publics détenant des bases de données dépassant les 2 millions de personnes qu’ils instaurent un système de double authentification pour sécuriser les accès à distance, confirme l'instance à RTL. Tous les utilisateurs - salariés, prestataires ou sous-traitants - devront non seulement entrer leurs identifiants habituels, mais aussi confirmer leur identité via un second facteur, comme un code reçu par SMS. Cette disposition figurait déjà dans la recommandation publiée par l'autorité en mars dernier, dans laquelle elle était qualifiée de "mesure de base" pour les traitements de données "à grande échelle". Des contrôles massifs seront menés en 2026 après un temps d'adaptation. 

Dans une déclaration à l’AFP, la présidente de la CNIL, Marie-Laure Denis, à la tête de l’institution depuis 2019, a affirmé que "80 % des violations massives de données survenues l’an dernier auraient pu être évitées" grâce à la double authentification. À ses yeux, cette mesure, combinée à des outils de détection des extractions de données à grande échelle et à une meilleure sensibilisation des salariés, aurait permis de bloquer la majorité des fuites constatées qui ont souvent trouvé leur source dans le hameçonnage d'un employé ou d'un prestataire.

Une mesure de sécurité supplémentaire déjà obligatoire dans les secteurs critiques

À écouter aussi

RTL Soir

JO 2024 - Attention aux arnaques liées aux transports en commun franciliens

25/07/2024 à 00:00 - 01m21s

La double authentification, aussi appelée connexion à deux facteurs ou 2FA, est une mesure de sécurité qui ajoute une couche de protection supplémentaire lors de la connexion à un compte. Cette méthode limite fortement le risque d'intrusion car même si un attaquant vole un mot de passe, il ne peut pas se connecter au système sans l'accès au second facteur, généralement un code temporaire. Ce dernier peut être généré et envoyé par SMS, mail ou via une application dédiée, comme Microsoft Authenticator ou Google Authenticator. Il peut aussi s'agir d'un élément biométrique, comme un scan du visage via Face ID sur iPhone, ou une clé physique privée type Yubikey, une méthode utilisée par les établissements du secteur bancaire et financier, notamment.

La double authentification est déjà obligatoire en France dans certains secteurs réglementés, comme les banques et les établissements financiers, mais aussi pour les opérateurs d'importance vitale (qui gèrent des infrastructures critiques dans l'énergie, le transport, la santé, etc.), les opérateurs essentiels (les entreprises privées stratégiques) et un nombre croissant de plateformes administratives. 

L'un des mécanismes de double authentification les plus connus est le processus 3-D Secure qui est imposé depuis plusieurs années par la plupart des banques lors des achats réalisés sur Internet jugés à risque. Après avoir renseigné ses informations de carte bancaire, l'utilisateur voit s'afficher une notification lui demandant de valider l'opération pour prouver qu'il ne s'agit pas d'un achat frauduleux. Cette méthode a ensuite été élargie à toutes les opérations sensibles réalisées en lien avec un compte bancaire, comme la connexion à l'application, l'initiation d'une transaction et toute action à distance susceptible de présenter un risque de fraude. 

Une bonne pratique recommandée depuis longtemps désormais exigée des géants des télécoms et du commerce

La double authentification devient aussi progressivement la norme pour de nombreux services administratifs. Confrontée à une recrudescence de fraudes, la CAF exige impose depuis décembre 2024 l'utilisation d'un code de vérification en plus du mot de passe classique. Le site des impôts adoptera la même exigence après cet été. La double authentification est déjà nécessaire depuis 3 ans pour valider certaines opérations sensibles via FranceConnect, la passerelle numérique vers les services publics, comme l'inscription à une formation via le CPF, l'accès à l'espace client de l'AP-HP ou une demande de rénovation énergétique MaPrimeRenov'. Pour cela, les usagers doivent disposer d'une identité numérique certifiée, accessible via l'application France Identité ou l'identité numérique La Poste. 

Les autorités entendent désormais faire de la double authentification une mesure de base incontournable pour les accès externes des entreprises et des organismes qui traitent d'importantes quantités de données ou des données sensibles, notamment les opérateurs télécoms et les grands acteurs du commerce en ligne, dont plusieurs acteurs de premier plan (Free, SFR, Auchan, Cultura, Boulanger, etc.) ont été piratés l'an dernier. "On a vu beaucoup de violations de données liées à des accès distants de prestataires se produire en l'absence de dispositif de double authentification. Le 2FA est une bonne pratique que l'on recommande depuis longtemps. On précise désormais que pour certaines catégories de bases de données, c'est une mesure qui devient nécessaire pour répondre à l'obligation de moyens imposée par la loi", souligne la CNIL à RTL.  

Dans sa feuille de route 2025-2028, l'autorité prévoit de cibler en priorité dès l'année prochaine les entreprises responsables du traitement de ces grandes bases de données pour vérifier la présence d'une double authentification forte pour protéger les accès externes et la capacité des systèmes à détecter en temps réel les extractions massives. La CNIL confirme à RTL qu'une absence de ces mécanismes pourra être considérée comme un manquement à  l'obligation de moyens imposée par l'article 32 du règlement européen sur la protection des données personnelles (RGPD) lors des audits qui seront diligentés par ses agents lors des prochains mois.