A la Une
Attendue depuis plusieurs semaines, la Commission européenne a finalement dévoilé le contenu de fils « Omnibus numérique »sa proposition de règlement visant à simplifier l’ensemble du cadre réglementaire européen sur le numérique.
Ce texte apporte un changement majeur dans la manière dont les entreprises devront déclarer leurs incidents de cybersécurité (intrusions, fuite de données…). Pour faire simple, aujourd’hui, une même cyberattaque peut déclencher plusieurs obligations de notification.
Pour simplifier la vie quotidienne des entreprises, Bruxelles propose de tout regrouper dans un point d’entrée unique, porté par l’Agence de l’Union européenne pour la cybersécurité (Enisa).
Cette plateforme deviendra ainsi le canal obligatoire pour transmettre les notifications imposées par différents textes (NIS 2, RGPD, Dora dans le secteur financier…). Une seule déclaration serait envoyée puis elle serait automatiquement distribuée aux autorités compétentes selon chaque cadre réglementaire.
En introduisant ce mécanisme, la Commission cherche à réduire le phénomène “d’underreporting” tout en améliorant la circulation de l’information entre autorités nationales. Il reste une question : l’Enisa aura-t-elle les moyens financiers et humains pour faire fonctionner un tel outil ?
L’essentiel à savoir
Cyberattaque de SitusAMC : Le secteur financier américain confronté à la vulnérabilité de ses prestataires clés. SitusAMC, un important prestataire technologique du financement immobilier aux Etats-Unis, a été touché par une fuite de données. Un incident de sécurité qui inquiète Wall Street car les logiciels de la victime sont utilisés par des banques systémiques, des fonds, des assureurs ainsi que des organismes de prêt. Aucun impact opérationnel n’a été constaté pour l’heure, précise le FBI de son côté.
Chiffrement des données : Pourquoi GrapheneOS, qui rend les téléphones inviolables, a décidé de quitter la France ? L’équipe de GrapheneOS, un système d’exploitation open source axé sur la sécurité et la confidentialité, a annoncé le retrait de toutes ses infrastructures en France. En cause : une note interne de la police, relayée par la presse, qui présente le logiciel comme un outil d’entrave aux enquêtes sur le narcotrafic.
Trois conseils locaux de Londres touchés par une cyberattaque, un plan d’urgence déployé. Plusieurs jours après qu’elles ont constaté l’incident, les administrations du Royal Borough of Kensington and Chelsea, de l’arrondissement de Westminster et du quartier de Hammersmith et Fulham peinent encore à rendre accessibles l’intégralité de leurs services. A elles seules, elles s’occupent de plus d’un demi-million de Londoniens.
Wallix s’offre Malizen pour accélérer sur l’IA. L’éditeur de logiciels de cybersécurité rachète la start-up rennaise Malizen, spécialiste de l’analyse comportementale des utilisateurs grâce à l’IA, pour 1,6 million d’euros. Sa technologie permet d’observer les actions des utilisateurs humains et non humains, de détecter les anomalies, de repérer les signaux faibles et aide à anticiper les risques cyber avant qu’ils ne se matérialisent.
Orange Business migre 70% de son infrastructure IT vers Bleu, son “cloud de confiance” donnant accès aux solutions Microsoft. La branche BtoB d’Orange annonce migrer 70% de son infrastructure IT vers Bleu. Cette démarche lui permet d’accéder aux services de Microsoft dans un environnement en cours de qualification “SecNumCloud”. Un moyen, selon le groupe français, de renforcer la maîtrise sur ses données tout en se posant en référence pour ses clients.
Free Pro lance son EDR managé pour les PME. La filiale BtoB du groupe Iliad a dévoilé une nouvelle version de son EDR managé destinée aux petites et moyennes entreprises. Cette solution combine la technologie de Trend Micro pour la détection et la réponse aux menaces et l’expertise d’ITrust pour la surveillance continue depuis son SOC français. Les données sont hébergées dans les datacenters de Free Pro.
Cybersécurité : 55% des entreprises françaises de 50 à 500 salariés ont recours à des outils de Threat Intelligence. Kaspersky a publié une étude sur la perception et l’application par les entreprises françaises des processus de Threat Intelligence, permettant d’identifier et d’analyser des menaces à partir de sources de données internalisées et externalisées. Si la quasi-totalité des sociétés interrogées en ont entendu parler, les freins à l’adoption restent nombreux. La faute, notamment, à un manque de personnel qualifié et à des restrictions budgétaires.
Alerte cyber : La fuite de données de la semaine
Colis Privé a signalé un accès non autorisé à ses systèmes ayant exposé des données clients. Les investigations ont permis de conclure que “seules des informations de contact” ont été “potentiellement” exposées. Il s’agit du nom, prénom, adresse postale, adresse électronique, et numéro de téléphone des clients de la société, filiale de l’armateur français CMA CGM.
En revanche, les données bancaires, les mots de passe, “ni aucune information sensible” ne sont concernés. Rappelons néanmoins que les informations de contact exposées sont des informations personnelles dont le mésusage peut avoir des conséquences importantes pour les particuliers et les entreprises.
La levée de fonds de la semaine
La start-up canadienne Feroot a bouclé une série A de 14 millions de dollarsmenée par le fonds True Ventures avec la participation de Y Combinator, Preface Ventures et Industry Ventures, portant le financement total obtenu par l’entreprise à 25 millions de dollars.
Feroot a développé une plateforme “AI native” qui sécurise les sites web, applications web et mobiles en analysant le code, détectant les vulnérabilités et assurant la conformité aux différentes réglementations sur la protection des données.
Avec ce nouveau financement, la société basée à Toronto prévoit d’améliorer ses agents IA, d’accélérer son développement produit et d’étendre son équipe.
Le focus réglementaire et conformité
Vanity Fair condamné par la Cnil. La Commission nationale de l’informatique et des libertés (Cnil) a sanctionné la société Les Publications Condé Nast, éditrice du site Vanityfair.fr, d’une amende de 750 000 euros pour non-respect de la législation sur les cookies. L’entreprise a été reconnue coupable d’avoir installé des cookies dès l’arrivée de l’utilisateur sur le site sans son consentement. De plus, certaines informations présentées comme relatives à des cookies “strictement nécessaires” étaient en réalité incomplètes ou trompeuses.
Par ailleurs, les mécanismes permettant de refuser ou de retirer le consentement ne fonctionnaient pas correctement. En effet, des traceurs continuent d’être déposés et lus malgré l’action sur les boutons de refus.
Le coin opérationnel
L’Anssi lance l’enregistrement des entités soumises à NIS 2 pour préparer leur mise en conformité. L’Anssi met en ligne le service d’enregistrement anticipé des entités assujetties à la directive européenne NIS 2. Bien que la loi de transposition soit toujours en cours d’adoption en France, les entreprises doivent se préparer à ce flot de nouvelles obligations, dont l’objectif est de renforcer leur capacité de résistance face aux cyberattaques.
