Ad image
SantéScienceTechnologie

Free lourdement sanctionné par la Cnil

Service Com'
Service Com'
Lu il y a 8 minutes



Contents
A la UneDans l’essentielLa fuite de données de la semaineLa levée de fonds de la semaineLe focus réglementaire et conformitéLe coin opérationnel

A la Une

L’année commence mal pour le groupe Iliad. Free et Free Mobile viennent d’être sévèrement condamnés par la Commission nationale de l’informatique et des libertés (Cnil) à la suite d’une fuite massive de données personnelles provoquée par une cyberattaque. 42 millions d’euros d’amende au total répartis de la façon suivante : 27 millions d’euros pour Free Mobile et 15 millions d’euros pour Free.

Un bref rappel des faits : une attaque informatique survenue entre fin septembre et octobre 2024 avait permis à un hacker d’accéder aux outils internes de Free, exposant les données de plus de 24,6 millions de contrats, dont certaines informations bancaires.

Free Mobile a été condamné pour conservation excessive des données, parfois pendant plus de dix ans, et pour des failles dans la sécurisation et la détection des accès anormaux. Free, de son côté, a été reconnu coupable de manquements à son obligation de sécurité, notamment dans la protection des bases contenant des données bancaires.

L’organisme français enjoint également à Free Mobile de finaliser, sous six mois, la purge des données conservées au-delà des durées autorisées afin de se mettre en pleine conformité avec le Règlement général sur la protection des données (RGPD).

Dans l’essentiel

Avec son offre European Sovereign Cloud, AWS cherche à imposer sa propre définition de la souveraineté. Avec la mise en production de son offre European Sovereign Cloud, l’hyperscaler américain détaille désormais l’organisation, l’architecture et les règles de fonctionnement de son cloud. Après une première région ouverte en Allemagne, trois local zones sont annoncées en Belgique, aux Pays-Bas et au Portugal.

Souveraineté : Airbus à la recherche d’un cloud de confiance pour migrer ses applications critiques. Dans le cadre d’un appel d’offres, le groupe aéronautique cherche une offre de cloud “souverain” pour migrer certaines de ses applications les plus critiques. Il invoque des enjeux de souveraineté et de continuité opérationnelle, tout en reconnaissant une incertitude sur la capacité du marché à répondre à ses exigences.

Le créateur de Signal dévoile Confer, un assistant qui protège les données personnelles. C’est une nouveauté à suivre de près : l’ingénieur connu sous son pseudonyme Moxie Marlinspike, l’architecte et ex-CEO de la messagerie Signal, a dévoilé “Confer”. Un assistant reposant sur de l’IA générative qui protège réellement les données personnelles. Sa promesse : personne, même l’entreprise qui l’exploite, ne peut accéder au contenu des conversations.

Le coeur du système repose sur le chiffrement de bout en bout, un protocole en vertu duquel les messages de l’utilisateur sont chiffrés directement sur son appareil avant d’être transmis au serveur de Confer.

L’Anssi et la Dinum industrialisent l’analyse de fichiers pour les services de l’État. Les deux services ont intégré le service “JeCliqueOuPas” directement dans plusieurs outils numériques de l’Etat. Les fichiers échangés par les agents publics sont désormais analysés automatiquement, sans action spécifique de leur part.

Transformation numérique de l’État : Quel bilan après cinq ans de doctrine “Cloud au centre” ? Cinq ans après le lancement de la doctrine “Cloud au centre”, l’Etat dresse un premier bilan chiffré. La consommation de cloud progresse fortement, la qualification SecNumCloud s’est imposée comme standard de confiance et la commande publique bénéficie majoritairement aux acteurs français et… à Microsoft. En revanche, la mutualisation interministérielle reste limitée et les contraintes budgétaires freinent encore certains acteurs publics.

CrowdStrike met la main sur SGNL pour repenser la sécurité des identités face aux usages de l’IA. La société américaine s’offre la start-up SGNL, spécialisée dans la sécurité des identités. L’opération vise à renforcer Falcon Next-Gen Identity Security en y intégrant des mécanismes d’autorisation continue et contextuelle, capables d’ajuster les droits d’accès en temps réel pour les identités humaines, non humaines et les agents d’IA.

Secteur public : Dans le choix d’un fournisseur cloud, le prix et la performance relégués au second plan. Le renforcement de la sécurité des données est le premier critère de choix d’un fournisseur de cloud pour les agents du secteur public. Juste derrière, la protection contre les lois extraterritoriales s’impose comme un impératif stratégique.

La fuite de données de la semaine

La Fédération française de Tennis victime d’une fuite de données. L’association sportive a annoncé avoir été la cible d’un acte de “cyber-malveillance” entraînant un accès non autorisé à certaines données. Cet incident a touché une plateforme utilisée par les clubs.

Les informations personnelles des licenciés ont pu être consultées, comme le nom, le prénom, les coordonnées et, le cas échéant, des données liées à la licence, mais aucun mot de passe ni aucune donnée bancaire ne sont concernés.

La FFT indique avoir immédiatement sécurisé la plateforme, bloqué les accès en cause, lancé des investigations techniques et informé la Cnil et l’Anssi, tout en déposant plainte.

La levée de fonds de la semaine

Les agents IA dans les SOC. C’est le pari de la start-up israélienne Torq qui vient de boucler une série D de 140 millions de dollars. Le tour de table a été mené par Merlin Ventures, un fonds spécialisé dans la cybersécurité. Un atout de taille pour la pépite qui cherche à capter de nouveaux marchés avec sa plateforme d’automatisation des SOC.

Au coeur de sa plateforme, se trouvent les fameux agents IA. Il ne s’agit pas simplement de modèles chargés d’analyser des textes mais de composants capables d’interagir techniquement avec les outils du SOC. Torq doit faire face à une concurrence importante composée d’éditeurs traditionnels, comme Palo Alto, et de jeunes entrants qui surfent sur la vague de l’IA générative.

Le focus réglementaire et conformité

RGPD : L’Irlande aligne les milliards… mais la caisse ne se remplit pas. En six ans, la Data Protection Commission (DPC), l’autorité de protection des données, a infligé plus de 4 milliards d’euros d’amendes pour violation du RGPD, mais moins de 0,5% de ces montants ont réellement été encaissés.

La quasi-totalité des sanctions est bloquée par des recours judiciaires, qui suspendent automatiquement leur recouvrement en droit irlandais. En 2025, sur plus de 530 millions d’euros d’amendes prononcées, seuls 125 000 euros ont été perçus.

Cette situation fragilise l’effet dissuasif du RGPD, d’autant que l’Irlande est le principal régulateur des géants de la tech en Europe. La DPC invoque un sous-dimensionnement chronique de ses moyens face à des procédures de plus en plus lourdes et à l’arrivée de nouvelles régulations européennes, notamment sur l’IA.

Le coin opérationnel

Après une reconnaissance en France, le régulateur allemand certifie l’outil de protection des terminaux d’HarfangLab. La start-up HarfangLab a obtenu une certification du BSI, l’homologue allemand de l’Anssi, pour son EDR. Cette certification intervient après une première reconnaissance obtenue en France et porte sur l’agent Windows de sa solution de protection des postes et des serveurs.



Source link

Vous pourriez également aimer

Des établissements d’enseignement supérieur français attaqués

Boeing : la grève se poursuit sur fond de mauvais résultats

ZATAZ » Cybermenaces 2025, l’année du basculement ?

renaissance d’un forum criminel en ligne fermé par le FBI

ZATAZ » OpenAI corrige la faille zéro-clic ShadowLeak dans Deep Research

Share This Article
Article Précédent Smurfit Westrock et MobiusPack associés dans le colis carton réemployable
Article Suivant Le manque de ressources n’affecte pas les opérations d’AUSSOM
Laisser un commentaire