Cyberattaque et vol de données : faut-il s'y habituer ?

Alexandra Iteanu
Iteanu avocats

Une de plus. La compromission récente du fichier des comptes bancaires (Ficoba) a exposé les données bancaires de plus d'un million de Français. Les annonces de cyberattaques et vols de données se succèdent désormais à un rythme toujours plus rapide.

L’actualité récente l’a montré : enlèvements visant certains détenteurs d’actifs en cryptomonnaies ou vols d’armes commis après l’exploitation de bases d’adhérents d’une fédération sportive. Ces affaires médiatisées illustrent un mécanisme simple : une donnée personnelle permet d’identifier, de localiser et donc de cibler une personne physique. Une information en apparence anodine peut devenir dangereuse lorsqu’elle est exploitée. 

Des risques très concrets qui ne touchent pas que les autres  

Les mêmes méthodes sont ensuite utilisées à une échelle beaucoup plus ordinaire. Au-delà des faits divers médiatisés, les conséquences les plus fréquentes sont l’usurpation d’identité (article 226-4-1 du Code pénal) et l’escroquerie ciblée (article 313-1 du Code pénal). 

Avec quelques informations — nom, date de naissance, coordonnées bancaires ou copie de pièce d’identité — un fraudeur peut ouvrir un crédit, souscrire un abonnement, louer un véhicule ou détourner des fonds. Les escroqueries reposent sur la même logique : les données volées servent à rendre crédible un faux prestataire, un faux conseiller bancaire, ou un faux service public, ce qui augmente fortement les chances de succès. 

Certaines fuites exposent également directement la sécurité des personnes. Une adresse associée à un niveau de patrimoine, une profession ou des habitudes d’absence peut suffire à préparer un cambriolage. 

Au-delà des risques eux-mêmes, la résolution de ces délits et crimes demeure particulièrement complexe : les commanditaires opèrent souvent depuis l’étranger tandis que les exécutants, parfois mineurs, sont difficilement identifiables, de sorte que les auteurs sont rarement retrouvés. 

Les réflexes indispensables 

Face à l’augmentation des risques de vol de données, plusieurs réflexes doivent être adoptés d’urgence par tous. 

  1. Premier principe : Donner le moins possible et utiliser ses droits. Chaque donnée communiquée augmente la surface d’attaque. Avant de transmettre un document d’identité, un RIB ou un numéro de téléphone, il faut s’interroger sur la nécessité réelle de ce partage. De même, il est important de protéger vos accès de tout accès frauduleux, au moyen de mot de passe fort, ou de double authentification. Il ne faut pas non plus hésiter à faire jouer ses droits prévus par le règlement UE n°2016/679 dit “RGPD” notamment droit à l’effacement, droit d’opposition, quand des données personnelles se trouvent en ligne à votre insu. La CNIL, autorité de protection française, peut par ailleurs être saisie d’une plainte en cas de difficulté à faire exercer vos droits. 
  2. Deuxième principe : rester vigilant après une fuite. Lorsqu’une organisation vous informe d’une violation de données — ce qu’elle est tenue de faire dans certains cas dans les meilleurs délais — il faut immédiatement se placer en alerte. Si les références de votre compte bancaire ou IBAN (International Bank Account Number) figurent dans la fuite de données, surveillez-le régulièrement. En pratique, contactez sans délai votre banque pour signaler toute opération que vous n’avez pas autorisée (par exemple un prélèvement inconnu), en demander le remboursement et faire révoquer le mandat de prélèvement concerné. Cette démarche peut être fondée sur l’article L.133-24 du Code monétaire et financier, qui encadre la contestation des opérations de paiement non autorisées. 
  3. Troisième principe : utiliser les dispositifs publics. Les plateformes PHAROS, 17cyber ou encore THESEE permettent d’obtenir une assistance opérationnelle et d’orienter les victimes. Elles sont encore trop peu sollicitées. 

Changer de paradigme 

Il ne faut pas s’habituer aux violations de données. Une cyberattaque révèle le plus souvent une prévention insuffisante. La cybersécurité relève donc d’abord de l’anticipation. Car une fois les données divulguées, le retour en arrière est en pratique impossible. 

C’est précisément l’objectif du cadre juridique actuel. Le RGPD impose la sécurisation des données personnelles et la notification des violations. La directive NIS2 et le règlement DORA obligent les organisations à conduire des analyses de risques, à prévoir des plans de continuité et à mettre en œuvre des mesures techniques de sécurité adaptées. Dans cette même optique, la CNIL a sanctionné dernièrement bon nombre d’organisme pour manquement à leur obligation de sécurité.  

Les cyberattaques progressent. Mais ce n'est pas une fatalité. La réponse face à ce constat : les entreprises doivent mieux protéger, les citoyens doivent moins exposer. Changer ses habitudes, c'est déjà se défendre.