Cyberattaques : la CNIL publie un rapport alarmant et prépare de nouvelles règles en 2025
+20% de violations de données en un an. 5 629 incidents signalés. Le double d'attaques massives touchant plus d'un million de personnes. Le rapport annuel 2024 de la CNIL, intitulé « Protéger les données de chacun pour sécuriser l'avenir numérique de tous », dresse un constat alarmant. Face à cette explosion des cybermenaces, l'autorité française prépare de nouvelles règles strictes pour 2025-2026, dont la double authentification obligatoire.
Le bilan 2024 : une explosion des cybermenaces
Publié le 29 avril 2025, le rapport annuel de la CNIL ne laisse aucune place au doute : la France fait face à une vague sans précédent de cyberattaques. Avec 5 629 notifications de violations de données, soit 20% de plus qu'en 2023, tous les secteurs d'activité sont désormais concernés — privés comme publics. Un constat qui fait écho au rapport Barracuda Networks sur les e-mails malveillants.
🚨 Tendance la plus préoccupante
×2 attaques massivesAu-delà de l'augmentation brute, c'est la recrudescence des violations de très grande ampleur qui inquiète le plus la CNIL. Le nombre d'incidents touchant plus d'un million de personnes a doublé en un an, passant d'une vingtaine à une quarantaine. Et cette tendance s'est accélérée début 2025, avec déjà 2 500 violations signalées au premier trimestre — soit près de la moitié du total annuel 2024.
⚠️ Chiffres sous-estimés : La CNIL souligne que ces 5 629 incidents reposent uniquement sur les déclarations volontaires des organisations touchées. Le nombre réel de violations est probablement bien supérieur.
Répartition des causes d'incidents
🎯 Cyberattaques directes
👤 Erreurs humaines
🔧 Sous-traitants
📡 Télétravail
Les entreprises victimes : une liste qui s'allonge
L'année 2024 a été marquée par des cyberattaques massives touchant des millions de Français. Noms, adresses, emails, et parfois données bancaires ou de santé : les informations personnelles de citoyens français circulent désormais sur les marchés noirs du dark web. Une situation qui rappelle les enjeux de vie privée à l'ère de l'IA.
| Entreprise | Secteur | Année | Impact estimé |
|---|---|---|---|
| France Travail | Service public | 2024 | Millions de demandeurs d'emploi |
| Free | Télécom | 2024 | Données clients massives |
| Auchan | Grande distribution | 2024 | Données clients |
| Boulanger | Distribution spécialisée | 2024 | Données clients |
| Cultura | Distribution culturelle | 2024 | Données clients |
| Truffaut | Jardinerie | 2024 | Données clients |
| Assurance retraite | Service public | 2024 | Données sensibles |
| La Poste / Chronopost | Logistique | 2025 | Données clients |
| Kiabi | Textile | 2025 | Données clients |
| Alain Afflelou | Optique | 2025 | Données clients |
| Tendance | Tous secteurs touchés | ||
Secteurs les plus touchés par les plaintes : Télécommunications, web et réseaux sociaux (49%), Commerce (19%), Travail (13%). Aucun secteur n'est épargné.
Les 3 failles principales exploitées par les attaquants
Selon les informations recueillies par la CNIL lors de ses contrôles, les modes opératoires des attaquants sont souvent similaires et exploitent régulièrement les mêmes failles. L'autorité en identifie trois principales.
Identifiants compromis
Détection tardive
Sous-traitants vulnérables
Télétravail mal sécurisé
Les grandes bases de données ne sont pas assez protégées. Il y a des manquements. La véritable interrogation n'est pas de savoir si une cyberattaque surviendra, mais plutôt quand.
Présidente de la CNIL
Les sanctions : la CNIL passe à l'offensive
Face à cette explosion des cybermenaces, la CNIL a considérablement intensifié son activité répressive en 2024. Le montant total des amendes a plus que doublé par rapport à l'année précédente — une tendance qui concerne aussi les géants de la tech face à la régulation européenne.
💰 Bilan des sanctions CNIL 2024
Les principales raisons de sanction
Les sanctions ont principalement visé des insuffisances manifestes en matière de sécurité. Les manquements les plus fréquents concernent des pratiques que beaucoup d'entreprises négligent encore.
🔐 Mots de passe non sécurisés
⚙️ Protocoles obsolètes
📱 Applications mobiles
🔔 Non-notification
Procédure simplifiée : Instaurée en 2022 pour traiter plus rapidement certaines infractions, cette procédure a permis de prononcer 69 sanctions en 2024, soit trois fois plus qu'en 2023. Un outil efficace pour accélérer la répression.
Les nouvelles règles 2025-2026 : ce qui va changer
La CNIL a fait de la cybersécurité un des axes majeurs de son plan stratégique 2025-2028. Plusieurs mesures concrètes vont être déployées dans les prochains mois pour renforcer la protection des données des Français.
✅ Double authentification obligatoire
Dès 2026Les 4 axes de contrôle prioritaires 2025
Contrôle des SDK
Cybersécurité territoriale
Données pénitentiaires
Droit à l'effacement
Directive NIS2 : le renforcement européen
En parallèle des actions nationales, la CNIL prépare l'entrée en application de la directive européenne NIS2, actuellement en cours de transposition. Cette directive impose de nouvelles exigences de sécurité informatique, particulièrement pour les collectivités territoriales qui gèrent des données sensibles (état civil, prestations sociales, données financières).
🛡️ Recommandations CNIL pour se protéger
❓ Questions fréquentes
Combien de violations de données ont été signalées à la CNIL en 2024 ?
La CNIL a enregistré 5 629 notifications de violations de données en 2024, soit une hausse de 20% par rapport à 2023. Ce chiffre est probablement sous-estimé car il repose sur les déclarations volontaires des organisations. Le nombre d'attaques touchant plus d'un million de personnes a doublé, passant de 20 à 40 incidents majeurs.
Quelles entreprises ont été touchées par des cyberattaques en France ?
En 2024, plusieurs grandes entreprises ont été victimes : France Travail, Free, Auchan, Boulanger, Cultura, Truffaut, l'Assurance retraite. Début 2025, la série s'est poursuivie avec La Poste, Chronopost, Kiabi, Indigo, Easy Cash et Alain Afflelou. Tous les secteurs sont concernés : commerce, santé, industrie, services publics.
Quelles nouvelles règles la CNIL prépare-t-elle pour 2025-2026 ?
La CNIL prépare plusieurs mesures : la double authentification obligatoire dès 2026, des contrôles renforcés sur les applications mobiles et les collectivités territoriales, et la transposition de la directive NIS2 européenne. L'autorité a également intensifié ses sanctions avec 55 millions d'euros d'amendes en 2024, soit le double de 2023.
Quelles sont les principales failles exploitées par les cyberattaquants ?
La CNIL identifie trois failles principales : les identifiants compromis (mots de passe faibles ou réutilisés), la détection tardive des intrusions (données exfiltrées avant découverte), et les sous-traitants vulnérables (prestataires externes mal sécurisés). Le télétravail mal sécurisé depuis la crise Covid reste un facteur aggravant.
La cybersécurité, enjeu de société
Le rapport 2024 de la CNIL ne laisse plus de place au doute : la cybersécurité est devenue un enjeu de premier plan pour les entreprises comme pour les citoyens. Avec 5 629 violations signalées, le doublement des attaques massives, et 55 millions d'euros d'amendes prononcées, les chiffres parlent d'eux-mêmes.
La présidente Marie-Laure Denis résume la situation en une phrase simple mais lourde de sens : la question n'est plus de savoir si vous serez attaqué, mais quand. Face à ce constat, les nouvelles règles annoncées pour 2025-2026 — double authentification obligatoire, contrôles renforcés, directive NIS2 — visent à rehausser le niveau de protection global.
Pour les entreprises, le message est clair : investir dans la cybersécurité n'est plus une option. Les amendes record et la multiplication des incidents prouvent que le coût de l'inaction dépasse largement celui de la prévention. Mots de passe robustes, mises à jour régulières, sensibilisation des équipes, audits des sous-traitants : les fondamentaux restent les mêmes, mais leur application devient urgente.
La cybersécurité n'est plus l'affaire des seuls experts techniques. C'est désormais une responsabilité collective — des dirigeants aux utilisateurs finaux.
Sources et références
- CNIL – Rapport annuel 2024 « Protéger les données de chacun pour sécuriser l'avenir numérique de tous »
- CNIL – Plan stratégique 2025-2028
- Marie-Laure Denis – Déclarations publiques, présidente de la CNIL
- Directive européenne NIS2 – Commission européenne
Besoin d'un site web sécurisé ?
WY-Créations applique les bonnes pratiques de cybersécurité dès la conception de votre site.
Demander un devis gratuit