A la Une
L’obtention, fin décembre 2025, du visa de sécurité “SecNumCloud” par S3NS, l’offre de cloud opérée par Thales et Google Cloud, marque une étape structurante dans l’évolution du cloud de confiance en France.
Cette qualification, délivrée par l’Agence nationale de la sécurité des systèmes d’information (Anssi), relance les débats sur la compatibilité entre souveraineté numérique et recours à des technologies non européennes. Le tout en clarifiant le périmètre réel de la qualification : SecNumCloud est un référentiel de cybersécurité et non un label politique.
Au cœur de cette doctrine, un principe central : la gestion des risques extraterritoriaux ne passe pas par l’exclusion systématique des hyperscalers, mais par un contrôle strict de l’exploitation et des accès. SecNumCloud impose que le prestataire qualifié soit européen, conserve la maîtrise opérationnelle du service et empêche tout accès aux données par des acteurs soumis à des législations étrangères. Dans ce cadre, le fournisseur technologique n’est pas considéré comme ayant la “possession, custody or control” des données, ce qui neutralise, en théorie, le risque d’injonctions extraterritoriales.
En rebattant les cartes du marché des usages sensibles, l’obtention du visa par S3NS pousse les acheteurs publics et industriels à préciser leurs critères et oblige l’ensemble des fournisseurs, y compris les acteurs historiques du cloud français, à se repositionner sur la profondeur fonctionnelle et l’industrialisation de leurs offres.
Dans l’essentiel
Doctolib assure qu’aucun de ses systèmes n’a été compromis et dément toute fuite de données. Après la diffusion en ligne de données patients sur un forum cybercriminel, Doctolib a démenti toute fuite auprès de L’Usine Digitale et a assuré qu’aucun de ses systèmes n’avait été compromis. La société précise, en outre, que les établissements concernés ne sont plus ses clients.
Pour préserver l’exemption de visa vers les États-Unis, l’Union européenne engage des discussions sur le partage de données biométriques. Les Etats membres de l’Union européenne s’apprêtent à négocier avec les Etats-Unis un cadre définissant les conditions d’accès à certaines bases de données biométriques. L’objectif : maintenir l’exemption de visa pour les citoyens européens.
Risques liés à l’IA : Trois cas d’entreprises françaises racontés par la DGSI. En exposant trois cas auxquels elle a fait face, la DGSI espère sensibiliser les organisations et les alerter davantage sur les risques inhérents à l’utilisation d’outils d’intelligence artificielle. Une façon de rappeler que le danger peut prendre plusieurs formes et que se protéger est essentiel.
Les cyberattaques qui ont marqué l’année 2025 et les leçons à en tirer. L’année 2025 a été marquée par une série de cyberattaques d’ampleur touchant aussi bien des administrations publiques que des acteurs privés. Ces incidents illustrent la diversité des menaces et les fragilités persistantes. Retour sur trois attaques et les enseignements à tirer.
La fuite de données de la semaine
L’Office français de l’immigration et de l’intégration visé par une cyberattaque. L’organisme public chargé du regroupement familial notamment a été victime d’une fuite de données. L’attaque ne visait pas directement son système mais celui d’un sous-traitant. Un opérateur disposant d’un accès aux données dans le cadre du contrat d’intégration républicaine (CIR) aurait été utilisé pour permettre l’exfiltration des informations. Les informations dérobées contiennent des données personnelles, telles le nom, prénom, date d’entrée sur le territoire ou encore le motif du séjour.
La levée de fonds de la semaine
Exein, la pépite italienne de la cybersécurité, lève 100 millions d’euros. L’opération a été menée par Blue Cloud Ventures, avec la participation de J.P. Morgan. Cette société est spécialisée dans la cybersécurité embarquée pour les systèmes IoT et edge. Sa technologie permet d’observer le comportement de l’appareil en temps réel, de détecter des anomalies ou attaques et d’y réagir immédiatement, sans dépendre d’une connexion cloud permanente. Grâce à cette enveloppe, Exein souhaite accélérer sa R&D et étendre le déploiement de sa technologie aux systèmes industriels.
Le focus réglementaire et conformité
La Cnil alerte sur les caméras “touristiques”. Les communes ne peuvent pas faire ce qu’elles veulent dans l’installation de caméras dans des lieux emblématiques. Les images, accessibles directement sur les sites web des communes, permettent aux internautes de visualiser des lieux en temps réel, parfois avec un léger différé, voire de consulter un historique de plusieurs semaines. N’imposant pas d’interdiction totale, l’organisme français rappelle néanmoins que ces dispositifs ne doivent pas capter de données personnelles. A défaut, elles devront respecter les nombreuses obligations du RGPD.
Le coin opérationnel
Fuite de données de santé : La Cnil sanctionne un éditeur pour des failles de sécurité connues et persistantes. Le gendarme de la vie privée a infligé une amende de 1,7 million d’euros à l’éditeur Nexpublica pour manquement à ses obligations de sécurité après des accès non autorisés à des données de santé. Un rappel pour les éditeurs que le traitement de données sensibles implique des exigences de sécurité élevées.
