Archives mensuelles : février 2026

Cybersécurité, Justice, Securite informatique

Fuite PSNI : indemnisation massive après l’erreur de 2023

En Irlande du Nord, une simple publication en ligne a exposé l’identité d’agents du PSNI. Trois ans plus tard, un plan d’indemnisation uniformisé tente de refermer une crise à haut risque.

En 2023, le Service de police d’Irlande du Nord (PSNI) a publié par erreur un fichier lié à une demande Freedom of Information, révélant des informations détaillées sur des policiers et personnels. L’incident est décrit comme la plus grave violation de données du secteur policier du pays et l’une des plus dangereuses de l’histoire britannique. Les données ont ensuite ressurgi sur les réseaux sociaux, aggravant l’exposition et les menaces. Un programme d’indemnisation uniforme prévoit 7 500 £ par personne et une enveloppe de 119 millions £, avec des versements attendus à partir d’avril. Les cas les plus sensibles pourront continuer en justice.

Une fuite “historique” et un risque opérationnel immédiat

L’épisode commence par une réponse administrative, presque banale, à une demande fondée sur la loi sur la liberté d’information. Le PSNI met en ligne, par erreur, une feuille de calcul. Le contenu, lui, ne l’est pas : des informations détaillées sur ses agents, dont des noms et, dans certains cas, des adresses personnelles. Dans un territoire marqué par une longue histoire de tensions ethniques, l’impact dépasse le registre de la confidentialité. Il devient une question de sécurité physique, de pression psychologique et, en creux, de résilience de l’institution.

La situation s’envenime rapidement. Peu après la publication initiale, des éléments personnels de certains agents réapparaissent sur les réseaux sociaux. Le signal est mauvais : même si le fichier d’origine est retiré, la copie circule, se fragmente, se réédite. En termes de cyber-renseignement, c’est le moment où la donnée fuitée cesse d’être un “incident” pour devenir une ressource exploitable : identification, recoupements, ciblage, intimidation potentielle. L’incident est présenté comme la pire violation de données jamais enregistrée dans le secteur policier du pays, et comme l’une des plus graves, voire des plus dangereuses, défaillances de sécurité des données de l’histoire britannique.

Les conséquences humaines, elles, s’installent. Dans les mois qui suivent, des policiers touchés signalent divers problèmes de santé. Les dispositifs internes de soutien en santé mentale du PSNI se retrouvent débordés : délais d’accès, accompagnements retardés, et, pour certains, impossibilité de financer un recours au privé. Une partie des agents choisit de déménager par crainte pour la sécurité de leur famille. D’autres demandent une aide pour changer de nom, et se voient répondre que ce ne serait pas nécessaire. Là encore, le contraste frappe : l’évaluation du risque, vécue au quotidien par les agents, ne se superpose pas toujours à la lecture administrative de la menace.

Indemnisation uniforme, mais contentieux ouverts

Face à cette crise durable, le PSNI lance un programme d’indemnisation annoncé comme “uniforme”. Chaque employé dont les informations personnelles ont été exposées doit recevoir 7 500 £, selon la présentation du dispositif. Liam Kelly, président de la Fédération de la police d’Irlande du Nord, indique que 119 millions £ ont été provisionnés pour financer ces paiements, avec un démarrage attendu en avril. Il qualifie le plan de “substantiel” et y voit une avancée “significative” sur un dossier qui s’éternisait : pour beaucoup d’agents, ce serait l’occasion de clore l’affaire et de “poursuivre” leur carrière.

Les chiffres, fournis tels quels, racontent aussi l’ampleur de la population concernée. Environ 9 483 policiers seraient touchés. Sur cet ensemble, environ 5 000 seraient représentés par le cabinet Edwards Solicitors, qui dit avoir travaillé “en étroite collaboration” avec son client pendant plus de deux ans et se félicite de voir enfin émerger un plan. Le cabinet anticipe un soulagement pour de nombreux agents et personnels, prêts à accepter une solution et à tourner la page. Mais il prévient déjà que l’approche uniforme pourrait ne pas convenir aux cas les plus lourds, qui resteront traités.

C’est aussi la limite assumée du dispositif. Liam Kelly insiste : “Il ne s’agit pas d’une solution unique.” Certains collègues, “particulièrement vulnérables” à cause de l’incident, voudront poursuivre leur démarche judiciaire. Il évoque des situations où la fuite a provoqué un bouleversement majeur : déménagements, installation de systèmes de sécurité domestique haut de gamme pour protéger les familles, exposition ressentie comme durable. Le message est clair : l’indemnisation standardise la réparation, mais ne standardise pas le danger, ni les trajectoires individuelles.

Au-delà des indemnisations, cette affaire rappelle une réalité brutale : dans le renseignement comme dans la police, une donnée personnelle publiée par erreur peut devenir, en quelques heures, un vecteur de ciblage, et donc un risque stratégique.

Cybersécurité, Entreprise, Securite informatique

Flickr alerte sur une fuite via un prestataire d’e-mails

Une faille chez un fournisseur tiers a pu exposer des données d’abonnés Flickr. L’entreprise bloque l’accès en quelques heures et redoute surtout une vague d’hameçonnage ciblant ses 35 millions d’utilisateurs mensuels.

Flickr a averti ses utilisateurs d’une possible fuite de données liée à une faille dans les systèmes d’un prestataire de messagerie tiers. L’entreprise dit avoir découvert l’incident le 5 février 2026 et avoir bloqué l’accès au système compromis quelques heures plus tard. Selon Flickr, les identifiants de connexion et les informations financières ne sont pas concernés. En revanche, des données pourraient avoir été exposées, notamment noms d’utilisateur, adresses e-mail, surnoms Flickr, types de comptes, adresses IP, données de géolocalisation et informations d’activité. Les utilisateurs sont invités à vérifier leurs paramètres et à se méfier du phishing. Flickr enquête et renforce ses contrôles fournisseurs.

Une brèche indirecte, et le risque de phishing à grande échelle

L’alerte ne vient pas d’un piratage frontal de Flickr, mais d’un angle souvent sous-estimé : la dépendance à un prestataire. Le service d’hébergement de photos indique qu’une faille de sécurité dans les systèmes d’un fournisseur de messagerie tiers a pu permettre à des pirates d’accéder à des informations d’abonnés. L’entreprise dit avoir eu connaissance du problème le 5 février 2026, puis avoir bloqué l’accès au système compromis quelques heures plus tard.

Flickr précise que les identifiants des utilisateurs et les informations financières n’ont pas été affectés. Cette ligne de défense est essentielle, mais elle ne supprime pas le principal danger opérationnel : l’attaquant n’a pas forcément besoin de mots de passe pour provoquer des dégâts. Des données comme les noms, les adresses e-mail, les surnoms Flickr, les types de comptes, les adresses IP, la géolocalisation et des informations d’activité suffisent à fabriquer des messages de fraude crédibles, personnalisés et difficiles à distinguer d’une communication légitime.

Le contexte donne la mesure du risque. Fondé en 2004, Flickr reste un acteur majeur, revendiquant plus de 28 milliards de photos et de vidéos. La plateforme est utilisée par 35 millions de personnes chaque mois et totalise 800 millions de pages vues. Une exposition même partielle peut donc fournir une base de ciblage massive pour des campagnes de hameçonnage, de prise de compte par tromperie, ou de collecte secondaire via de faux formulaires de support.

Flickr ne communique pas le nom du prestataire touché ni le nombre d’utilisateurs concernés. Ce silence complique l’évaluation externe, mais il ne change pas la logique de menace : dès que des coordonnées et des signaux d’usage circulent, les fraudeurs peuvent orchestrer des attaques “à la bonne adresse”, au bon moment, avec un récit cohérent.

Ce que Flickr demande aux utilisateurs, et ce que l’incident révèle

Dans les notifications par courriel, les utilisateurs potentiellement concernés sont invités à vérifier les paramètres de leur compte pour détecter toute modification suspecte. L’entreprise leur demande aussi de redoubler de prudence face aux messages d’hameçonnage, car des pirates pourraient exploiter des données volées pour usurper l’identité de Flickr. Elle rappelle un point de repère simple : Flickr ne demande jamais un mot de passe par e-mail.

L’entreprise indique enquêter sur l’incident, renforcer son architecture et resserrer ses contrôles sur les fournisseurs tiers. L’aveu implicite est celui d’une surface d’attaque élargie : même si le cœur du service n’est pas touché, un maillon périphérique peut exposer des informations suffisamment riches pour alimenter une fraude rentable. Dans ce schéma, le renseignement utile pour l’attaquant n’est pas le contenu des comptes, mais les métadonnées permettant de choisir une victime, de la profiler et de la convaincre.

À l’échelle cyber, l’épisode illustre une règle constante : les compromis “indirects” via prestataires transforment des données de contact en armes, et déplacent la bataille vers la détection de faux messages et la discipline des accès.

Cybersécurité, Justice, loi, Mise à jour

La CISA ordonne le retrait des appareils en fin de vie

Washington impose un calendrier serré : inventorier, retirer, puis surveiller en continu. L’objectif est clair, couper l’accès aux périphériques Edge non maintenus, devenus une autoroute pour les intrusions.

La CISA a publié jeudi une directive opérationnelle imposant aux agences civiles fédérales américaines de retirer, sous 12 mois, tout matériel ou logiciel en fin de vie, non pris en charge par le fabricant. L’agence juge ces dispositifs, pare-feu, routeurs, équilibreurs de charge, commutateurs, points d’accès Wi-Fi, appliances de sécurité et IoT, particulièrement vulnérables faute de mises à jour et de correctifs. Les agences ont trois mois pour remettre un inventaire des équipements concernés figurant sur une liste fournie, puis un an pour les mettre hors service. Sous deux ans, elles devront instaurer un processus de détection continue des périphériques arrivant en fin de vie.

Un ultimatum de 12 mois, et le talon d’Achille des réseaux fédéraux

La CISA veut casser une habitude coûteuse : garder en production des appareils que le constructeur ne maintient plus. Jeudi, l’agence américaine de cyberdéfense a publié une directive opérationnelle ordonnant aux agences civiles fédérales de « retirer tout dispositif matériel et logiciel qui n’est plus pris en charge par son fabricant d’origine ». Un calendrier est fixé, avec des étapes obligatoires, et une philosophie simple : ce qui n’est plus patché n’a plus sa place sur un réseau d’entreprise.

Madhu Gottumukkala, directeur par intérim de la CISA, pose le diagnostic sans détour. « Les appareils non pris en charge représentent un risque sérieux pour les systèmes fédéraux et ne devraient jamais rester sur les réseaux d’entreprise », dit-il. Le message vise un inventaire concret : équilibreurs de charge, pare-feu, routeurs, commutateurs, points d’accès sans fil, appliances de sécurité réseau et dispositifs IoT. La CISA explique que ces équipements deviennent des cibles privilégiées dès qu’ils cessent de recevoir des mises à jour de firmware et des correctifs de sécurité. À partir de là, chaque faille, nouvelle ou déjà connue, se transforme en vulnérabilité permanente.

Nick Andersen, directeur adjoint exécutif de la CISA pour la cybersécurité, a ajouté lors d’une conférence de presse que les auteurs de ces attaques visant les périphériques réseau « comprennent des personnes liées à des États ». Il refuse toutefois de citer des pays ou d’identifier les incidents précis ayant conduit à la directive. Surtout, il insiste sur le cadre : « Il ne s’agit pas d’une réponse à un incident ou à une compromission particulière, mais d’une reconnaissance du fait que les appareils non pris en charge représentent un risque très grave pour les systèmes fédéraux. » Autrement dit, la CISA présente cette décision comme un changement structurel, pas comme une réaction à chaud.

Les chiffres de la menace ne sont pas donnés, mais le vocabulaire employé est parlant. La CISA évoque des cybercampagnes « persistantes », « souvent rendues possibles » par des dispositifs non pris en charge, placés à la périphérie du réseau. L’agence ajoute que les campagnes d’exploitation dont elle a connaissance sont « substantielles et constantes », au point de constituer une menace significative pour les actifs fédéraux. Le terme “Edge” résume l’enjeu : ces boîtiers sont au contact d’Internet, voient passer les flux, et s’imbriquent souvent dans l’identité, donc dans l’accès.

Inventorier, retirer, puis détecter, une discipline imposée

La directive ne se contente pas d’un principe. Elle impose une cadence. Les agences civiles fédérales ont trois mois pour fournir à la CISA un inventaire de tous les appareils présents sur leurs réseaux qui figurent sur une liste fournie d’équipements en fin de vie. Ensuite, au bout d’un an, tous les dispositifs identifiés devront être mis hors service. Enfin, dans un délai de deux ans, chaque agence devra mettre en place un processus de détection continue afin de repérer, au fil du temps, les périphériques susceptibles d’arriver en fin de vie. La logique est celle d’un contrôle permanent : l’obsolescence n’est pas un projet ponctuel, c’est un flux.

En parallèle, les agences reçoivent l’ordre de mettre à jour tous leurs appareils et de remplacer ceux en fin de vie par des équipements capables de recevoir des mises à jour de sécurité. Cette formulation vise une vulnérabilité organisationnelle autant que technique : acheter un matériel “qui marche” ne suffit plus, il faut acheter une capacité de patch sur la durée, donc une relation de support.

Pour structurer l’effort, la CISA indique avoir créé une liste des périphériques Edge en fin de vie, l’EOS Edge Device List, couvrant les appareils déjà hors service ou qui le seront dans les prochains mois. Mais l’agence précise qu’elle ne publiera pas cette liste. Ce choix illustre une tension classique : aider à la conformité sans fournir aux attaquants un catalogue prêt à l’emploi des équipements à traquer.

Andersen résume la doctrine en une phrase : « Une bonne hygiène informatique commence par l’élimination des périphériques non pris en charge. » La CISA promet aussi un accompagnement des agences qui en ont besoin et un suivi des progrès de conformité. En revanche, elle ne précise pas quels acteurs ni quels incidents ont pesé dans la décision. La directive mentionne seulement des « rapports publics récents faisant état de campagnes ciblant certains fournisseurs », sans que Andersen accepte de dire lesquels.

Le texte rappelle néanmoins un point de contexte : les périphériques Edge sont depuis longtemps des portes d’entrée favorites, et des acteurs étatiques chinois et russes ont mené de multiples campagnes visant des appareils de sociétés comme Barracuda, Ivanti, Fortinet et d’autres. Même sans lier formellement la directive à un cas précis, la mécanique est connue : une faille sur un boîtier exposé, puis l’accès initial, ensuite la persistance, et enfin l’extension latérale au cœur du réseau.

Ce que change vraiment la directive, c’est l’aveu implicite que la bataille ne se gagne pas uniquement avec de la détection. Elle commence avec l’inventaire, et se consolide en fermant les cibles faciles, celles qui ne recevront plus jamais de correctifs, mais qui continuent, trop souvent, à protéger des systèmes critiques.

Biométrie, Cybersécurité, double authentification, IA

New York veut traquer la fraude au métro avec l’IA

La MTA teste des portiques dotés de caméras et d’IA pour décrire les fraudeurs présumés. Dans une ville déjà saturée de biométrie, l’initiative ranime un débat explosif sur la surveillance.

L’Autorité des transports métropolitains de New York (MTA) expérimente des portiques de métro équipés de caméras et d’intelligence artificielle pour collecter des données sur les usagers soupçonnés de ne pas payer leur titre. Selon Cubic, fabricant des portillons, les caméras enregistrent cinq secondes lorsqu’une fraude est détectée, puis l’IA produit une description physique transmise à la MTA. La démarche s’inscrit dans un appel lancé en décembre, visant des solutions de vision par ordinateur pour repérer des comportements inhabituels ou dangereux. Des défenseurs des libertés, dont STOP, alertent sur l’extension d’un écosystème de surveillance biométrique à New York.

Des portiques qui regardent, et des corps transformés en données

Dans le métro new-yorkais, la lutte contre la fraude prend un tournant technologique. La MTA teste des portiques équipés de caméras alimentées par l’intelligence artificielle, avec un objectif clair : documenter les personnes soupçonnées de passer sans payer. L’argument est opérationnel, limiter les pertes, fluidifier les contrôles, décourager les resquilleurs. Mais la méthode, elle, touche à une frontière plus délicate : convertir un comportement, franchir un portillon, en signal exploitable.

Selon des responsables de Cubic, fabricant des portillons, le dispositif embarque des caméras qui se déclenchent pendant cinq secondes lorsqu’un usager est suspecté de ne pas régler son titre de transport. Sur cette courte séquence, l’IA génère une description physique de la personne, puis transmet cette description à la MTA. Le point central n’est pas seulement l’enregistrement. C’est l’automatisation du tri : une machine décide qu’un événement mérite capture, produit un profil descriptif, et l’envoie à une autorité publique.

En décembre, la MTA a renforcé ce cap en lançant un appel aux fournisseurs, à la recherche de produits capables « d’exploiter des technologies avancées de vision par ordinateur et d’intelligence artificielle (IA) » pour détecter des « comportements inhabituels ou dangereux ». Le cadrage élargit d’emblée l’usage potentiel. On ne parle plus uniquement de fraude tarifaire, mais d’une catégorie souple, “inhabituel”, qui peut vite devenir un filet large si les paramètres ne sont pas strictement bornés.

Pour les New-Yorkais, l’essai de la MTA s’inscrit dans un paysage déjà dense. Les agences publiques et les acteurs privés multiplient les capteurs, et la normalisation se fait souvent par petites touches. Un portillon qui filme cinq secondes aujourd’hui, une généralisation demain, puis une extension des finalités après-demain. C’est précisément ce glissement progressif que redoutent les défenseurs de la vie privée, parce qu’il change la ville sans vote explicite, au rythme des mises à jour et des contrats.

Commerces, police, et l’ombre d’un État de surveillance

Le débat new-yorkais ne se limite pas aux transports. Début janvier, l’enseigne Wegmans a commencé à afficher des panneaux informant les clients qu’elle avait déployé des caméras intégrant la reconnaissance faciale dans certains magasins. Le groupe affirme que « le système collecte des données de reconnaissance faciale et ne les utilise que pour identifier les personnes qui ont déjà été signalées pour mauvaise conduite ». Wegmans ajoute ne collecter ni scans rétiniens ni empreintes vocales, mais l’entreprise ne précise pas la durée de conservation des données, un détail qui, en matière de biométrie, fait toute la différence entre un contrôle ponctuel et un fichier durable.

La loi de la ville de New York impose aux magasins d’informer leurs clients lorsqu’ils utilisent la reconnaissance faciale. Michelle Dahl, directrice générale du Surveillance Technology Oversight Project (STOP), cite d’autres enseignes recourant à ces outils : T-Mobile, Madison Square Garden, Walmart, Home Depot, Fairway et Macy’s. Dans ce décor, la MTA apparaît moins comme une exception que comme un nouveau maillon, public, d’un réseau de surveillance hybride où l’espace commercial et l’espace urbain finissent par se ressembler.

Dahl avertit que la surveillance biométrique, par les commerçants comme par la MTA, a fortement augmenté récemment, tout en passant sous le radar d’une partie des habitants. « Les New-Yorkais, dans leur ensemble, s’enfoncent sans s’en rendre compte dans cet État de surveillance, et il est temps pour nous de nous réveiller et d’agir », dit-elle. La phrase agit comme un rappel politique : la technique avance vite, mais l’attention citoyenne, elle, est intermittente.

Une autre inquiétude pèse sur ces systèmes : la précision inégale selon les populations. La reconnaissance faciale est décrite comme moins fiable pour identifier les minorités, et en particulier les personnes noires. Appliquée à la fraude dans le métro, cette limite ouvre un risque concret : que des caméras signalent les mauvaises personnes et que ces signalements, par ricochet, alimentent des interventions policières. Même lorsque l’outil ne “nomme” pas, une description physique automatisée peut devenir un vecteur de ciblage.

Le texte rappelle enfin que le NYPD utilise depuis longtemps des technologies biométriques, dont la reconnaissance faciale, pour profiler et suivre des habitants. En novembre, STOP et Amnesty International ont publié des documents montrant l’ampleur de ce programme après une procédure judiciaire de cinq ans. Selon ces organisations, les documents indiquent qu’en avril 2020, la police de New York avait dépensé plus de 5 million $ (4,6 millions d’euros) en technologie de reconnaissance faciale et qu’elle dépensait au moins 100 000 $ (92 000 euros) supplémentaires chaque année.

Dans ce contexte, les portiques intelligents de la MTA ne sont pas qu’un test technique. Ils deviennent un point de bascule : la fraude comme justification, la biométrie comme outil, et la ville comme terrain d’expérimentation, où l’IA transforme les passants en profils actionnables.

backdoor, Cybersécurité, Entreprise, IOT, loi, Téléphonie

L’UE durcit la 5G face aux fournisseurs à haut risque

Bruxelles remet la chaîne d’approvisionnement au centre du jeu. Une loi cybersécurité révisée vise les télécoms et 17 secteurs, avec la Chine en ligne de mire.

Depuis janvier 2026, la Commission européenne pousse un paquet cybersécurité pour muscler la résilience de l’UE face aux menaces cyber et hybrides. Le cœur du texte, une loi révisée sur la cybersécurité, étend la logique de la boîte à outils 5G à 18 secteurs critiques, dont les télécommunications. L’objectif est de réduire les dépendances jugées à haut risque dans les chaînes d’approvisionnement TIC, notamment vis-à-vis de fournisseurs de pays tiers. Le périmètre annoncé couvre les 27 États membres, l’EEE (Islande, Liechtenstein, Norvège) et la Suisse. Les opérateurs auraient moins de cinq ans, adoption comprise, pour remplacer des équipements sensibles, avec un coût estimé autour de 7 € par abonné mobile.

Une loi pensée pour la menace hybride

Le texte proposé s’inscrit dans une décennie de crispations, où la cybersécurité n’est plus traitée comme un sujet technique isolé. La Commission place désormais les attaques numériques, la coercition économique et la pression géopolitique dans un même tableau, avec des acteurs étatiques étrangers régulièrement cités, dont ceux associés à la Chine. En arrière-plan, la guerre d’agression de la Russie contre l’Ukraine, entrée dans sa quatrième année, a durci la lecture du risque, en particulier l’idée d’actions coordonnées ou convergentes entre Moscou et Pékin.

Le projet vise la chaîne d’approvisionnement des technologies de l’information et de la communication. Il cherche à empêcher des dépendances considérées comme dangereuses, en imposant une sélection plus stricte des technologies et des fournisseurs critiques. La proposition couvre 18 secteurs, calés sur NIS 2, répartis entre 11 domaines à haute criticité, énergie, transports, banque, infrastructures de marché financier, santé, eau potable, eaux usées, infrastructure numérique, administration publique, spatial et télécommunications, et 7 autres secteurs critiques, services postaux et messagerie, déchets, chimie, agroalimentaire, industrie manufacturière, fournisseurs de services numériques et recherche.

Strand Consult, très présent dans le débat depuis 2018, explique avoir vu venir l’extension du sujet au-delà de la 5G. Le cabinet rappelle l’effet d’entraînement de la boîte à outils 5G lancée en 2020, d’abord centrée sur les réseaux mobiles, puis appelée à toucher le fixe, le satellite, et, désormais, d’autres industries. La proposition, volumineuse, environ 270 pages, prévoit une procédure accélérée pour les réseaux mobiles, fixes et satellitaires, car les télécoms sont déjà encadrés par la 5G Toolbox. Les 17 autres secteurs entreraient, eux, dans un schéma d’évaluation comparable, incluant le risque supply chain et des applications sectorielles.

Le calendrier donne la mesure de la tension. L’adoption pourrait prendre un an à un an et demi. Ensuite, les opérateurs disposeraient de trois ans pour appliquer les règles sur les infrastructures critiques. Ceux qui utilisent encore des fournisseurs à haut risque auraient donc moins de cinq ans pour sortir des équipements concernés, souvent déjà en milieu ou fin de vie. C’est là que le cyber devient renseignement, une dépendance matérielle se transforme en variable stratégique.

Le vrai coût du remplacement et la carte des dépendances

L’argument le plus répété, ces dernières années, affirme que restreindre Huawei ou ZTE ralentit la 5G et renchérit le déploiement. Strand Consult conteste cette narration, en décrivant trois familles d’opérateurs : ceux qui ont basculé vers des fournisseurs chinois en migrerant de la 4G vers la 5G, ceux qui ont corrigé tôt leur trajectoire, ou opèrent dans des pays appliquant la 5G Toolbox, et ceux qui continuent à s’appuyer sur des fournisseurs chinois là où la boîte à outils est absente ou partielle. Le cabinet insiste sur un point, de nombreux opérateurs ont choisi des fournisseurs jugés fiables sans explosion des coûts, ni retard visible.

Le Danemark sert d’exemple narratif. Deux réseaux mobiles 4G sur trois y avaient été construits avec Huawei, mais la bascule vers la 5G s’est faite avec des fournisseurs reconnus. Le pays a lancé la 5G très tôt et affiche aujourd’hui, selon Strand Consult, la meilleure couverture 5G de l’UE. Copenhague applique une approche fondée sur le risque, via une loi imposant le retrait des équipements de fournisseurs à haut risque. En 2023, TDC a reçu l’ordre de remplacer son réseau WDM Huawei avant 2027, dans un cadre où l’évaluation est portée par l’Agence danoise de la résilience.

À l’échelle européenne, Strand Consult décrit une photographie contrastée. Sur environ cent réseaux mobiles dans l’UE, une soixantaine seraient déjà assurés comme « réseaux propres ». Sur les quarante restants, une dizaine auraient une exposition limitée, entre 10 et 30 %, et ne seraient pas forcément ciblés par l’analyse de connectivité des fournisseurs. Reste une trentaine d’opérateurs, avec un RAN composé à 35 % jusqu’à 100 % de composants issus de fournisseurs à haut risque, surtout dans des pays où la 5G Toolbox n’est pas pleinement appliquée. Au début de 2026, l’estimation avancée est claire, environ 30 % des équipements installés dans l’UE, l’EEE et la Suisse proviendraient de fournisseurs à haut risque.

La géographie du remplacement concentre le risque, et donc la bataille politique. L’Allemagne, l’Italie et l’Espagne compteraient, à elles trois, plus de 55 % des équipements à remplacer sur cinq ans. Vodafone et Deutsche Telekom apparaissent comme nœuds critiques. DT serait fournie par Huawei à 58 % en Allemagne, et à 100 % en Grèce, Autriche et République tchèque, avec des niveaux élevés en Croatie et Pologne, tandis que sa filiale T-Systems revend des solutions cloud conçues et opérées par Huawei. Vodafone, de son côté, dépendrait entièrement de Huawei en République tchèque, Grèce, Hongrie et Roumanie, avec 67 % en Espagne et 53 % en Allemagne. Le sujet bascule alors du régulateur vers la défense, les forces armées européennes utiliseront la 5G des opérateurs, et l’exposition à des équipements chinois devient un paramètre de résilience collective.

Reste la facture, nerf de la guerre et angle d’influence. Strand Consult rappelait qu’en 2020, avec 86 % de la population européenne abonnée au mobile, le remplacement des équipements évolutifs représentait 3,5 milliards d’euros, soit 7,40 € par abonné, en investissement unique. La Commission, sur la base de données de l’Observatoire 5G et d’une transition de trois ans, estime 3,4 à 4,3 milliards d’euros pour les équipements non évolutifs, et un maximum de 6,5 à 8,3 € par abonné si la charge est répercutée. La Commission affirme aussi que la simplification des obligations pourrait générer jusqu’à 15,3 milliards d’euros d’économies sur cinq ans, de quoi neutraliser une partie du choc initial.

Dans le récit de Strand Consult, les opérateurs les plus exposés pourraient tenter d’amplifier les coûts, comme au Royaume-Uni en 2019, mais les échanges investisseurs cités contredisent l’idée d’un blocage automatique. BT évoquait 100 millions de livres sterling par an pendant cinq ans, et Vodafone parlait d’environ 200 millions d’euros pour une trajectoire de retrait du cœur de réseau, en alertant surtout sur le risque d’accélérations irréalistes. Au final, la proposition européenne impose une question de renseignement économique autant que de cyber, qui paie, le contribuable ou l’actionnaire, quand une dépendance technique devient un risque stratégique.

La bataille se jouera sur un terrain discret, cartographie des dépendances, arbitrages d’investissement, et capacité des États à traduire le risque cyber en décisions industrielles.

Justice, loi

Conformité DORA et NIS2 : le choc opérationnel des SGP

Dans les SGP, la conformité cyber n’est plus un dossier annexe. DORA et NIS2 imposent une mécanique vérifiable : risques cartographiés, fournisseurs tenus, incidents tracés, tests menés, preuves prêtes.

Pour les sociétés de gestion de portefeuille (SGP), DORA et NIS2 transforment la cybersécurité en obligation démontrable, au-delà des politiques écrites. Ce qui change concrètement tient à cinq piliers : cartographier les risques et les actifs critiques, encadrer les prestataires et la chaîne de sous-traitance, structurer la gestion des incidents avec des preuves exploitables, organiser des tests réguliers et réalistes, et conserver des éléments probants en continu. L’enjeu n’est pas seulement de “faire”, mais de pouvoir prouver, à tout moment, qui décide, qui exécute, ce qui est mesuré, et ce qui est corrigé.

Ce qui change : d’une cyber “raisonnable” à une cyber prouvable

Dans une SGP, le quotidien est fait d’arbitrages, d’outils spécialisés et de dépendances invisibles. Jusqu’ici, la cybersécurité pouvait rester une discipline de bon sens, solide sur le papier, inégale dans l’exécution. DORA et NIS2 déplacent le centre de gravité : le sujet n’est plus la conformité déclarative, mais la conformité observable. Ce basculement se lit dans un mot qui revient partout, même quand il n’est pas prononcé : la preuve.

La première marche, c’est la cartographie des risques. Pas une liste générique, mais une vision qui relie processus, données, applications, accès et scénarios de défaillance. Une SGP doit pouvoir expliquer, sans hésiter, ce qui est critique, pourquoi, et ce que cela implique en termes de mesures. La tension naît ici : cartographier, c’est aussi admettre ses angles morts. Et une fois l’inventaire posé, chaque exception devient une dette. Dans un univers où un incident se joue souvent sur un compte trop large ou un flux mal compris, l’exercice n’est pas administratif, il est tactique.

Deuxième déplacement, la gestion des fournisseurs. Les SGP fonctionnent avec des briques externes, hébergement, logiciels, données, support, infogérance, parfois en cascade. DORA et NIS2 rendent cette chaîne impossible à ignorer. Il ne suffit plus de “faire confiance” à un prestataire : il faut encadrer, suivre, et réagir. Concrètement, cela pousse à clarifier qui fait quoi, qui accède à quoi, comment les accès sont retirés, et comment la sécurité est contrôlée dans la durée. La relation change de nature : un contrat devient un mécanisme de contrôle. La vigilance se joue aussi dans la capacité à challenger des réponses standardisées et à refuser les zones floues. C’est dans ces interstices que se cachent les incidents les plus coûteux, et les plus difficiles à attribuer.

Troisième point, la gestion des incidents. Là encore, la nouveauté n’est pas l’existence d’un plan, mais son opérabilité et sa traçabilité. Un incident n’est plus seulement une panne à réparer, c’est une séquence à documenter. Qui a détecté, à quelle heure, avec quel signal. Quelles décisions ont été prises, par qui, sur la base de quels éléments. Quels impacts ont été mesurés, quelles mesures de confinement ont été appliquées, et comment le retour à la normale a été contrôlé. Dans une logique cyber-renseignement, cette chronologie est capitale : elle permet d’identifier un mode opératoire, de comprendre une propagation, et de réduire le risque de récidive. Sans traces, on reconstruit une histoire. Avec des traces, on produit des faits.

Pour mettre ces exigences en musique, certaines SGP s’appuient sur une entreprise de sécurité informatique, afin de structurer méthode, tests et documentation, sans confondre vitesse et précipitation.

Comment s’y préparer : tests, evidences, et gouvernance sans fiction

La préparation se joue dans la répétition et le réalisme. Les tests ne sont pas un exercice de communication, ils doivent créer des frottements. Tester un incident, ce n’est pas lire un scénario, c’est éprouver des délais, des rôles, des décisions, et la qualité des informations disponibles. L’objectif est double : trouver ce qui casse, et générer des preuves. Une SGP doit être capable de montrer ce qui a été testé, ce qui a été observé, et ce qui a été corrigé. Le correctif compte autant que le test, car il montre une boucle de maîtrise, pas un théâtre de conformité.

Cette logique oblige à revoir la production de preuves. Les éléments probants ne se fabriquent pas à la veille d’un contrôle. Ils s’accumulent, comme des journaux de bord : comptes rendus, validations, tickets, journaux techniques, plans de remédiation, décisions de gouvernance. La difficulté est de rester simple : trop de documents tue la lisibilité, pas assez tue la crédibilité. La bonne cible est une preuve utile, reliée à un risque identifié et à une mesure effective.

Reste la gouvernance. DORA et NIS2 imposent une clarté sans échappatoire : qui porte le risque, qui arbitre, qui accepte une exception, qui finance une correction. Une organisation peut survivre avec des zones grises, mais elle ne peut pas démontrer sa maîtrise avec des responsabilités floues. La préparation passe donc par des rôles explicites, des circuits de décision courts, et une capacité à prioriser. Car le piège, dans les SGP, est connu : traiter l’urgence technique sans traiter la cause structurelle, puis découvrir que la même faille se déplace chez un fournisseur, un outil ou un processus voisin.

Dans ce cadre, la conformité devient un avantage de renseignement interne : mieux voir son système, ses dépendances et ses signaux faibles, c’est réduire l’espace où un adversaire peut se dissimuler.

Cybersécurité, Entreprise, Justice, loi

La CNIL durcit le ton en 2025, amendes record

En 2025, la CNIL a tranché 259 fois, avec 83 sanctions et près de 486,8 millions d’euros d’amendes. Derrière ces chiffres, une pression nette sur les traceurs, la surveillance au travail et la sécurité.

La CNIL dresse un bilan 2025 marqué par 259 décisions, dont 83 sanctions, 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements. Les sanctions totalisent 486 839 500 euros, réparties entre 78 amendes, des injonctions sous astreinte, trois liquidations d’astreinte et deux rappels à l’ordre, avec dix décisions rendues publiques. Les cookies et traceurs restent un front prioritaire, avec 21 sanctions et deux amendes majeures à 325 millions et 150 millions d’euros. La CNIL cible aussi la vidéosurveillance des salariés, les sous-traitants et, via les mises en demeure, l’aide sociale à l’enfance et les services en ligne utilisés par des mineurs.

Cookies, traceurs, et l’illusion du consentement

Le chiffre frappe d’emblée : 486 839 500 euros d’amendes cumulées pour 83 sanctions en 2025. Ce total n’est pas qu’un record comptable, il raconte une ligne de conduite. La CNIL veut faire comprendre qu’un bandeau de cookies mal conçu n’est plus une “erreur de paramétrage”, mais un dispositif qui peut priver l’internaute d’un choix réel. Sur l’année, 16 sanctions ont été rendues par la formation restreinte, dans la procédure dite ordinaire, tandis que 67 ont été décidées dans le cadre simplifié instauré en 2022, par le président de la CNIL ou un membre de cette formation. Le message est simple : l’arsenal existe, il est utilisé, et il va vite.

Dans le détail, le paquet de sanctions comprend 78 amendes, dont 27 assorties d’injonctions sous astreinte. À cela s’ajoutent trois décisions de liquidation d’astreinte, autrement dit le paiement exigé quand un organisme n’exécute pas l’ordre donné dans une sanction précédente, et deux rappels à l’ordre. Dix décisions ont été rendues publiques, un levier de réputation que l’autorité active quand l’exemplarité devient un outil de conformité.

La bataille la plus lisible reste celle des cookies et autres traceurs. Cinq ans après ses lignes directrices et ses recommandations, la CNIL a poursuivi son plan d’action et ses contrôles ont mis au jour des non-conformités. Vingt-et-un acteurs ont été sanctionnés pour des manquements variés : dépôt de traceurs sans consentement, informations trop pauvres pour permettre un accord éclairé, refus de l’utilisateur ignoré, ou retrait du consentement rendu inopérant. L’enjeu, souligné par les décisions, tient à l’asymétrie : des données peuvent être collectées et exploitées sans que la personne s’en rende compte, ou sans qu’elle puisse réellement s’y opposer.

Le durcissement s’incarne surtout dans deux amendes massives, à 325 millions et 150 millions d’euros. L’argument de l’autorité est frontal : les règles ne sont plus nouvelles, la CNIL dit avoir largement communiqué dessus depuis des années, et les acteurs concernés ne pouvaient pas prétendre les découvrir. Derrière la conformité juridique, c’est un sujet de renseignement économique et d’influence qui affleure : maîtriser les traceurs, c’est maîtriser les flux de données qui alimentent le profilage, la mesure d’audience, le ciblage et, parfois, des chaînes de sous-traitance difficiles à cartographier.

Surveillance au travail, sous-traitants et sécurité des données

Un autre terrain révèle la même tension entre sécurité et contrôle : la vidéosurveillance des salariés. En 2025, 16 organismes ont été sanctionnés pour non-respect du cadre applicable. La CNIL rappelle une limite : en dehors de circonstances exceptionnelles, par exemple liées à des exigences particulières de sûreté ou à la lutte contre le vol, une captation vidéo permanente constitue une atteinte aux données personnelles. Filmer en continu des caissiers ou des bureaux, c’est transformer l’outil de protection en instrument de suivi. Plus sensible encore, les caméras dissimulées ne peuvent être tolérées qu’à titre exceptionnel, et seulement si l’équilibre est respecté entre l’objectif poursuivi, protéger biens et personnes, et la vie privée des salariés.

La CNIL insiste aussi sur un point souvent sous-estimé dans les organisations : la responsabilité des sous-traitants. Au-delà des dossiers cookies et vidéosurveillance, la formation restreinte a sanctionné des manquements aux obligations liées aux données confiées. Le rappel est net : mettre en place des mesures techniques et organisationnelles adaptées au niveau de risque, n’agir que sur instruction du responsable de traitement, et effacer les données à la fin de la relation contractuelle. Ici, la dimension cyber est immédiate : une chaîne de sous-traitance mal gouvernée élargit la surface d’attaque, multiplie les comptes, les accès, les copies, et rend l’incident plus probable comme plus opaque.

La procédure simplifiée, elle, dessine une typologie des fautes répétées. Trois motifs dominent en 2025 : sécurité insuffisante, absence de coopération avec la CNIL, et non-respect des droits des personnes. Quatorze organismes ont été épinglés pour ne pas avoir déployé toutes les mesures nécessaires à la confidentialité, avec des exemples concrets comme des mots de passe trop faibles ou des comptes partagés entre utilisateurs. Quatorze autres ont été sanctionnés pour n’avoir pas répondu aux sollicitations de la CNIL. Enfin, quatorze décisions visent la mauvaise prise en compte de demandes d’effacement, d’opposition ou d’accès, là où le RGPD impose une mécanique de réponse traçable.

La prospection, commerciale comme politique, n’échappe pas au contrôle : dix sanctions concernent des opérations de démarchage. La CNIL rappelle que la prospection électronique requiert le consentement, qu’il s’agisse d’envoi direct ou de transmission des données à des partenaires. Elle a aussi sanctionné cinq candidats aux élections européennes et législatives de 2024, en soulignant l’obligation de pouvoir prouver la licéité des messages envoyés.

À côté des sanctions, 143 mises en demeure structurent la prévention sous contrainte. Plusieurs concernent l’aide sociale à l’enfance, avec des manques sur la conservation des dossiers de mineurs, l’information des personnes, la gestion des habilitations et des mots de passe, la tenue du registre des traitements, ou encore la réalisation d’une analyse d’impact. D’autres visent des sites qui déposaient des traceurs sans offrir un refus simple, ou sans respecter le retrait du consentement. Enfin, des applications mobiles et des jeux en ligne, dont une part importante des usagers sont mineurs, ont été mis en demeure de renforcer le contrôle de l’âge et d’améliorer la transparence.

Dans tous les cas, la CNIL verrouille un principe souvent oublié : les amendes, qu’elles touchent le public ou le privé, sont recouvrées par le Trésor public et versées au budget de l’État.

Au fond, ce bilan 2025 décrit une même logique de cyber-renseignement : réduire les angles morts de la donnée, là où se nichent à la fois le risque d’attaque et la tentation de surveiller.