Archives de catégorie : loi

Cybersécurité, Entreprise, Justice, loi, RGPD, Securite informatique

G7 2026 : Paris au centre des données

La CNIL réunira à Paris les autorités du G7 pour aligner protection des données, intelligence artificielle et coopération face aux risques numériques mondiaux.

La France présidera le G7 en 2026 et confiera à la CNIL l’organisation, à Paris, de la Table ronde des autorités de protection des données et de la vie privée. Du 23 au 26 juin 2026, les régulateurs du G7 échangeront sur les transformations numériques, l’intelligence artificielle et les conditions d’une protection robuste des informations personnelles. Cette rencontre annuelle, créée en 2021, vise à rapprocher les pratiques, renforcer l’application du droit et chercher des convergences opérationnelles. Son enjeu dépasse la conformité : il touche à la confiance, à la souveraineté numérique et au renseignement économique.

Paris accueille un rendez-vous stratégique

Du 23 au 26 juin 2026, Paris deviendra un point de passage obligé pour les régulateurs mondiaux de la donnée. Sous la présidence de la CNIL, les autorités de protection des données des pays du G7 se retrouveront pour leur réunion annuelle. L’événement s’inscrit dans la présidence française du G7, qui donnera à la France une visibilité particulière sur les grands dossiers numériques.

Ce rendez-vous arrive dans un moment sensible. Les technologies se diffusent vite, les usages de l’intelligence artificielle s’élargissent, et les attentes autour des données personnelles se renforcent. Chaque administration, chaque entreprise et chaque plateforme doit désormais composer avec une contrainte majeure : exploiter l’information sans fragiliser les droits fondamentaux. Dans cet équilibre, les autorités de contrôle jouent un rôle de vigie.

La Table ronde des autorités de protection des données et de la vie privée du G7 existe depuis 2021. Elle rassemble, sous l’impulsion de la présidence annuelle, les régulateurs compétents d’Allemagne, du Canada, des États-Unis, de France, d’Italie, du Japon, du Royaume-Uni, ainsi que l’Union européenne. Cette composition reflète un espace politique et économique où circulent d’immenses volumes de données, parfois au cœur de chaînes technologiques critiques.

L’objectif n’est pas de produire un affichage diplomatique. La Table ronde sert d’abord à comparer les évolutions juridiques, techniques et opérationnelles observées dans chaque juridiction. Elle permet aussi aux responsables des autorités de se parler directement, sans intermédiaire, sur des sujets qui dépassent les frontières. Enfin, elle cherche, lorsque cela reste possible, à dégager des positions communes sur des thèmes d’intérêt partagé.

Dans une lecture cyber et renseignement, cette mécanique compte. Les données personnelles ne sont pas seulement des éléments administratifs ou commerciaux. Elles peuvent révéler des habitudes, des déplacements, des opinions, des vulnérabilités, voire des liens professionnels sensibles. Lorsqu’elles sont croisées avec des outils d’analyse avancée, elles deviennent une matière stratégique. Leur protection relève donc aussi de la résilience démocratique et de la sécurité informationnelle.

Trois chantiers pour une gouvernance opérationnelle

La présidence française a prévu plusieurs axes de travail pour 2026. Le premier porte sur les technologies émergentes. Cette catégorie inclut notamment les systèmes d’intelligence artificielle, dont le développement rapide oblige les régulateurs à suivre des usages mouvants. Le sujet est central, car l’IA repose souvent sur des volumes massifs de données, parfois difficiles à tracer, à expliquer ou à maîtriser.

Le deuxième chantier concerne la coopération dans l’application du droit. C’est un point décisif. Les atteintes à la vie privée, les traitements illicites ou les transferts contestés ne s’arrêtent pas aux frontières nationales. Une autorité isolée peut sanctionner, enquêter ou alerter, pourtant son efficacité dépend souvent de la capacité à échanger avec ses homologues. Dans un environnement numérique globalisé, la coordination devient un instrument de puissance publique.

Le troisième axe traite de la libre circulation des données. La formule peut sembler technique, elle se trouve pourtant au centre des tensions numériques contemporaines. Les États, les entreprises et les citoyens attendent des flux de données efficaces. En parallèle, ces flux doivent respecter les garanties prévues pour les personnes. La difficulté consiste à éviter deux impasses : un blocage stérile des échanges ou une circulation sans garde-fous.

La CNIL place cette présidence sous le signe du dialogue, de l’expertise partagée et du pragmatisme. Le mot est important. Dans le domaine numérique, les principes généraux ne suffisent pas toujours. Les autorités doivent aussi confronter leurs méthodes, leurs outils d’enquête, leurs interprétations et leurs priorités. La convergence recherchée n’efface pas les différences entre systèmes juridiques, elle tente de construire un terrain d’action commun.

Ce travail aura une portée particulière en 2026. L’intelligence artificielle, les architectures cloud, les plateformes transnationales et les services fondés sur l’analyse comportementale transforment la notion même de donnée personnelle. Une information isolée peut paraître anodine. Agrégée, enrichie et analysée, elle peut devenir sensible. Pour les autorités, l’enjeu consiste à maintenir une protection élevée dans un espace technique qui change plus vite que les cadres institutionnels.

La réunion de Paris servira donc de test politique. Elle montrera jusqu’où les autorités du G7 peuvent rapprocher leurs approches sans renoncer à leurs spécificités nationales ou régionales. Elle dira aussi si la protection des données peut devenir un véritable langage commun entre démocraties industrialisées, face à des acteurs privés puissants et à des technologies de plus en plus opaques.

Pour la France, l’accueil de cette Table ronde offre un levier d’influence. La CNIL pourra mettre en avant une approche fondée sur les droits et libertés, tout en insistant sur la nécessité d’outils concrets. La promesse n’est pas seulement normative. Elle vise une coopération capable de répondre à des risques réels : collecte excessive, usages détournés, décisions automatisées mal contrôlées, circulation internationale mal encadrée.

En matière de cyber intelligence, la donnée personnelle reste un capteur de pouvoir : protéger son usage revient aussi à défendre l’autonomie numérique des sociétés démocratiques.

Cybersécurité, IA, loi, santé

Bulle veut repenser les réseaux sociaux

Face aux risques d’addiction, de désinformation et de harcèlement, Bulle défend une réponse centrée sur l’architecture même des plateformes sociales.

Alors que plusieurs États veulent interdire les réseaux sociaux aux moins de 15 ans, Bulle avance une autre voie : modifier les mécanismes qui organisent l’attention, la visibilité et la circulation des contenus. Le réseau social européen estime que la vérification de l’âge ne suffit pas si les publications dangereuses restent accessibles, amplifiées ou recommandées par des algorithmes peu lisibles. Sa proposition repose sur trois leviers : transparence algorithmique, limitation du temps d’usage et cadre éditorial strict. L’enjeu dépasse la protection des mineurs : il touche à la sécurité informationnelle et à la responsabilité des plateformes numériques.

Une réponse au-delà du contrôle d’âge

La protection des mineurs en ligne s’impose désormais comme un sujet politique central. En France, en Turquie, en Espagne, en Grèce ou en Norvège, des textes ont été adoptés ou préparés pour encadrer plus fermement l’accès des jeunes aux réseaux sociaux. Cette dynamique dépasse l’Europe. L’Australie a instauré, depuis fin 2025, une limite d’âge fixée à 16 ans. Selon les premiers bilans cités, cette mesure n’a pas modifié de façon notable la domination des grandes plateformes. ZATAZ explique même que dès l’annonce de ces nouvelles régles, les pirates proposaient à la vente des comptes et des accès afin de passer outre les restriction !

Ces initiatives traduisent une même inquiétude : l’exposition des adolescents à des contenus violents, trompeurs ou addictifs. Elles reposent pourtant sur une logique principalement défensive. Il s’agit de filtrer l’entrée, de vérifier l’âge, puis d’autoriser ou de bloquer l’accès. Cette approche laisse intact le cœur du problème. Une plateforme peut contrôler l’âge de ses utilisateurs tout en conservant des systèmes de recommandation opaques, capables de pousser des contenus anxiogènes, polarisants ou trompeurs.

Un réseau social n’est pas seulement un espace d’expression. C’est aussi une infrastructure de visibilité, où chaque signal, chaque interaction et chaque recommandation peut orienter l’attention collective. Lorsque les règles internes restent invisibles, les utilisateurs ne savent pas pourquoi certains contenus leur sont montrés, ni comment certaines publications gagnent en puissance.

Bulle affirme donc que la réponse ne peut pas se limiter à l’interdiction. Le réseau social européen propose de déplacer le débat vers la conception même des outils numériques. L’objectif consiste à réduire les risques avant qu’ils ne deviennent structurels : dépendance aux flux, exposition répétée à des contenus toxiques, propagation de rumeurs ou pression sociale permanente.

La plateforme agit d’abord sur le temps d’usage. Par défaut, chaque utilisateur dispose d’une limite quotidienne d’une heure trente. Ce choix vise à casser la logique de captation continue, souvent centrale dans les modèles d’engagement. Un couvre-feu nocturne est appliqué. Il bloque automatiquement l’accès pendant la nuit. Cette mesure s’inscrit dans une approche de réduction des risques, plutôt que dans une exclusion totale des jeunes publics.

Le principe est clair : limiter l’emprise sans supprimer les usages. Les adolescents, les créateurs, les journalistes et les médias peuvent continuer à utiliser des formats sociaux attractifs, mais dans un cadre moins dépendant de la stimulation permanente. Le sujet n’est plus seulement l’âge biologique de l’utilisateur. Il devient la qualité de l’environnement numérique dans lequel cet utilisateur évolue.

Envie de tester ? Cette proposition n’est pas un partenariat ou toutes autres démarches commerciales. Juste vous permettre de découvrir un projet qui nous semble prometteur et respectueux de l’Internet et des Internautes ! Voici comment faire : www.bulle.media. Lors de votre inscription, utilisez le code parrainage : 0F6NXW

Des algorithmes publics pour une information lisible

Le deuxième pilier de Bulle concerne la transparence algorithmique. La plateforme indique que ses algorithmes de recommandation sont publics et consultables. Cette orientation tranche avec le fonctionnement dominant des grands réseaux sociaux, où les critères de diffusion restent souvent difficiles à comprendre. Cette lisibilité compte : elle permet d’observer les mécanismes qui hiérarchisent l’information, favorisent certains contenus et organisent la visibilité.

Rendre un algorithme consultable ne supprime pas tous les risques. Mais cela modifie le rapport de force entre la plateforme, les producteurs de contenus et les utilisateurs. Les règles ne sont plus seulement imposées dans une boîte noire. Elles deviennent discutables, vérifiables et potentiellement contrôlables. Pour les médias et les journalistes, cette transparence peut aussi renforcer la confiance dans les conditions de diffusion.

Bulle associe cette transparence à une charte de déontologie stricte. Les publications doivent respecter des règles explicites, pensées pour limiter la désinformation et les dérives. Cette dimension éditoriale donne à la plateforme une identité particulière : elle ne se présente pas uniquement comme un outil social, mais comme un espace structuré pour l’information et la création. Les contenus y circulent dans un cadre défini, où la responsabilité des auteurs est placée au centre.

Cette organisation répond à une demande croissante : disposer de formats numériques attrayants, sans abandonner les exigences de fiabilité. Les créateurs peuvent publier, les médias peuvent diffuser, les journalistes peuvent toucher leurs publics, mais dans un environnement où les règles de visibilité et de publication sont affichées. Le modèle revendiqué cherche donc un équilibre entre attractivité, responsabilité et sécurité informationnelle.

Clément Étoré, fondateur de Bulle, résume cette logique en opposant la restriction d’accès à la transformation des mécanismes internes. Selon lui, les réponses actuelles s’appuient surtout sur l’interdiction ou la vérification de l’âge, sans changer les logiques profondes des plateformes. Il souligne que ces logiques déterminent la circulation des contenus et la captation de l’attention. Sur Bulle, explique-t-il, les algorithmes sont publics, l’usage est limité par défaut et une charte de déontologie encadre les publications. L’objectif annoncé est de réduire les risques d’addiction et de désinformation, tout en conservant des formats adaptés aux jeunes, aux créateurs et aux médias.

Dans cette bataille, l’enjeu n’est plus seulement de bloquer l’accès, mais de rendre visibles les mécanismes qui gouvernent l’information.

backdoor, Cybersécurité, Entreprise, Espionnage Spy, Justice, loi

La FCC bloque les routeurs étrangers aux États-Unis

Washington durcit sa doctrine cyber en visant les routeurs fabriqués hors des États-Unis, jugés trop risqués pour les réseaux domestiques, les infrastructures critiques et la sécurité nationale.

La Federal Communications Commission, la FCC, interdit l’importation future de tous les routeurs grand public fabriqués en dehors des États-Unis, sauf exemption explicite accordée après examen sécuritaire. La mesure ne vise pas les appareils déjà installés chez les particuliers, mais elle pourrait bouleverser tout le marché américain, largement dépendant d’une production étrangère. L’agence invoque un « risque inacceptable » pour la sécurité nationale, la sûreté publique et la cybersécurité.

Une rupture réglementaire au nom de la sécurité nationale

La FCC franchit un seuil important dans sa politique de sécurité. L’agence interdit désormais l’importation de futurs routeurs grand public produits hors des États-Unis, à moins que leurs fabricants n’obtiennent une dérogation. Pour être exemptées, les entreprises devront décrocher une « détermination spécifique » du Department of Homeland Security ou du Department of War attestant que leurs produits ne présentent aucun danger sécuritaire.

Le signal envoyé est considérable. La plupart des routeurs utilisés par les consommateurs américains sont fabriqués à l’étranger. En visant l’origine industrielle des équipements, et non une seule marque ou une seule technologie, la FCC expose potentiellement l’ensemble du secteur à un choc réglementaire. Cette décision prolonge une logique déjà engagée en décembre, lorsque l’agence avait adopté une interdiction comparable concernant les drones produits hors des États-Unis.

L’interdiction reste toutefois circonscrite aux importations à venir. Les particuliers qui possèdent déjà chez eux des routeurs fabriqués à l’étranger peuvent continuer à les utiliser. Cette précision limite l’effet immédiat pour les consommateurs, mais elle ne réduit pas la portée stratégique de la mesure. Elle déplace l’effort sur le renouvellement du parc et sur l’accès au marché américain pour les nouveaux équipements.

La justification de la FCC repose sur un diagnostic de chaîne d’approvisionnement. Selon la décision de sécurité nationale, publiée le 20 mars 2026, la dépendance des ménages américains à l’égard de routeurs fabriqués à l’étranger introduit des vulnérabilités susceptibles de menacer l’économie, les infrastructures critiques et la posture de défense du pays. L’agence parle même d’un « grave risque de cybersécurité ». La formule n’est pas anodine. Elle inscrit les équipements domestiques dans le périmètre de la sécurité nationale, au même titre que des composants plus directement liés aux réseaux stratégiques.

Dans son texte, la FCC détaille les usages offensifs associés à des routeurs compromis. Ces appareils peuvent faciliter la surveillance du trafic, l’exfiltration de données, les attaques par botnet et l’accès non autorisé à des réseaux. L’agence ajoute que des routeurs non sécurisés, fabriqués hors des États-Unis, ont déjà servi dans plusieurs cyberattaques récentes comme points d’appui pour pénétrer d’autres systèmes et comme relais vers des infrastructures critiques. Dans cette lecture, le routeur domestique n’est plus un simple boîtier technique. Il devient un point d’entrée, un capteur, un pivot et parfois une plateforme d’espionnage.

 

News & alertes actualités cyber

Enquêtes, cyberveille avec le Service de veille ZATAZ, fuites, actus, et recevez nos infos par 📧 ou par ☎️.

Service de veille ZATAZ
WhatsApp
Google News
Autres


S’abonner à la Newsletter

 

Le routeur domestique, nouvel enjeu de la guerre des accès

La décision de la FCC met en lumière une réalité connue du monde cyber : l’attaque passe souvent par les marges. Un routeur compromis permet non seulement d’observer le trafic, mais aussi de se fondre dans le décor, de conserver un accès durable et d’utiliser un réseau déjà légitime comme tremplin. C’est précisément ce que l’agence associe ici à plusieurs campagnes attribuées à des acteurs étatiques ou à des groupes offensifs.

Selon la décision de sécurité nationale, les opérateurs parrainés par un État derrière les attaques Salt Typhoon ont utilisé des routeurs étrangers compromis pour s’intégrer à certains réseaux, y maintenir un accès dans la durée et pivoter vers d’autres cibles. Cette description est importante. Elle souligne que la menace ne tient pas uniquement au sabotage ou au vol immédiat de données. Elle tient aussi à la persistance, à la discrétion et à la capacité de mouvement latéral, trois dimensions essentielles dans les opérations de renseignement.

La CISA, l’Agence de cybersécurité et de sécurité des infrastructures, a elle aussi qualifié les routeurs de « vecteur d’attaque de choix », rappelle la FCC, en citant un avis de septembre 2025. L’agence fédérale s’appuie également sur une évaluation conjointe publiée en septembre 2024 par le FBI, la Cyber National Mission Force et la National Security Agency. Ce document indiquait que des pirates avaient exploité des routeurs de fabrication étrangère pour constituer des botnets employés dans des activités malveillantes, notamment des attaques par déni de service distribué. La FCC mentionne encore une annonce de Microsoft, datée d’octobre 2024, selon laquelle des routeurs compromis fabriqués à l’étranger avaient été utilisés pour mener des attaques par pulvérisation de mots de passe contre ses clients.

TP-Link illustre choqué !

La réaction de TP-Link illustre l’onde de choc provoquée par cette décision. Dans un communiqué, l’entreprise, fondée en Chine et désormais basée en Californie, affirme que presque tous les routeurs sont fabriqués hors des États-Unis, y compris ceux d’entreprises américaines, et précise produire au Vietnam. Selon son porte-parole, l’ensemble du marché des routeurs pourrait être affecté par l’annonce de la FCC concernant les nouveaux appareils qui n’avaient pas encore été autorisés. La société dit néanmoins avoir confiance dans la sécurité de sa chaîne d’approvisionnement et se déclare favorable à cette évaluation sectorielle.

Le climat politique s’est encore tendu en février, lorsque le Texas a attaqué TP-Link Systems en justice, l’accusant d’avoir facilité le piratage d’appareils de consommateurs par le Parti communiste chinois tout en affirmant offrir un haut niveau de sécurité et de protection de la vie privée. Cette procédure ajoute une dimension contentieuse à un débat déjà dominé par les questions d’influence, d’ingérence et de dépendance technologique.

Un point mérite toutefois d’être relevé : les routeurs fabriqués aux États-Unis ne sont pas présentés comme immunisés. Le département de la Justice a indiqué en janvier 2024 que les acteurs de Volt Typhoon avaient utilisé des routeurs Cisco et Netgear arrivés en fin de support, donc privés de correctifs et de mises à jour. Autrement dit, l’origine industrielle ne résout pas à elle seule la vulnérabilité. Elle s’ajoute à un autre problème majeur, celui du cycle de vie, de la maintenance logicielle et de l’abandon de produits encore déployés sur le terrain.

En visant les routeurs étrangers, la FCC traite l’équipement domestique comme une surface de renseignement, preuve que la bataille cyber se joue désormais jusque dans les boîtiers les plus ordinaires des foyers.

 

News & alertes actualités cyber

Enquêtes, cyberveille avec le Service de veille ZATAZ, fuites, actus, et recevez nos infos par 📧 ou par ☎️.

Service de veille ZATAZ
WhatsApp
Google News
Autres


S’abonner à la Newsletter
Cybersécurité, Justice, loi, Securite informatique

La stratégie cyber de Trump muscle l’offensive américaine

La Maison-Blanche présente une doctrine cyber offensive, articulée autour de six axes, pour durcir la réponse américaine face aux États hostiles, aux groupes criminels et aux opérations d’influence.

Publié en mars 2026, « President Trump’s Cyber Strategy for America » expose la vision de l’administration Trump pour le cyberespace américain. Le document lie sécurité numérique, puissance économique, compétitivité technologique et liberté d’expression. Il insiste sur une réponse plus directe face aux cyberattaques, aux réseaux criminels, aux opérations d’espionnage et aux technologies étrangères jugées intrusives. La stratégie s’appuie sur six piliers : modeler le comportement adverse, alléger la régulation, moderniser les réseaux fédéraux, protéger les infrastructures critiques, préserver l’avantage technologique américain et renforcer les compétences. L’ensemble dessine une doctrine de puissance qui associe cyberdéfense, capacités offensives, industrie, diplomatie et souveraineté technologique.

Une doctrine de confrontation assumée

Le document publié par la Maison-Blanche présente le cyberespace comme un champ décisif de la puissance américaine, au même titre que la finance, l’innovation, l’industrie ou l’outil militaire. Dès les premières pages (il n’y a que sept, dont deux images !), l’administration affirme que les États-Unis doivent y rester sans rival, en s’appuyant à la fois sur la supériorité technologique du pays, ses capacités gouvernementales et l’appui du secteur privé. La logique est claire : il ne s’agit pas seulement de protéger les réseaux, mais de garantir une position dominante, une doctrine cyber dans un environnement numérique perçu comme central pour la sécurité nationale et la prospérité.

Le texte insiste sur l’aggravation des menaces. Les adversaires étatiques, les cybercriminels et les dispositifs d’influence sont décrits comme des acteurs capables de perturber des services essentiels, de renchérir le coût des biens courants et de viser directement les ménages, les petites entreprises, les agriculteurs, les soignants ou encore les personnes âgées. La santé, la banque, l’approvisionnement alimentaire et le traitement de l’eau sont explicitement cités parmi les secteurs exposés. Dans cette lecture, la menace cyber ne relève plus d’un problème technique isolé : elle touche le fonctionnement quotidien du pays.

L’administration Trump se démarque aussi par le ton employé. Le document rejette les « mesures partielles » et les stratégies jugées ambiguës des administrations précédentes. Il promet des réponses rapides, délibérées et proactives, sans limitation au seul domaine numérique. Cette formule est importante : elle signifie que la réponse américaine à une menace cyber peut mobiliser l’ensemble des instruments de puissance, au-delà du seul cadre technique. La stratégie revendique en outre l’usage conjoint de capacités défensives et offensives, avec une volonté affichée d’éroder les moyens des adversaires avant même qu’ils ne compromettent les réseaux américains.

Le texte cite plusieurs actions comme illustration de cette posture, notamment la destruction de réseaux d’escroquerie en ligne, la saisie de $15 billion liés à des fonds volés, le soutien à une opération contre les infrastructures nucléaires iraniennes et l’aveuglement d’adversaires lors d’une opération militaire visant Nicolas Maduro. Au-delà de ces exemples, la stratégie veut surtout transmettre un signal : toute attaque contre les intérêts américains est présentée comme risquée pour ses auteurs. Espionnage en ligne, propagande destructive, opérations d’influence et « subversion culturelle » figurent parmi les cibles annoncées de cette politique de contre-attaque.

Six piliers pour l’État, l’industrie et les technologies critiques

La mise en œuvre repose sur six piliers. Le premier vise à « modeler le comportement adverse ». Il prévoit le recours à l’ensemble des moyens cyber de l’État fédéral, mais aussi des incitations destinées au secteur privé pour identifier et perturber les réseaux ennemis. La lutte contre la cybercriminalité, le vol de propriété intellectuelle, les infrastructures criminelles et les refuges financiers y occupe une place centrale. La stratégie place également la question idéologique au cœur du combat numérique, en promettant de contrer les technologies autoritaires de surveillance et de répression.

Le deuxième pilier porte sur la régulation. La Maison-Blanche défend une approche dite de « bon sens », conçue pour réduire les charges de conformité, clarifier la responsabilité et mieux aligner régulateurs et industriels. Dans le même mouvement, le texte affirme vouloir préserver le droit à la vie privée des Américains et de leurs données. Cette articulation entre dérégulation, agilité industrielle et protection des données constitue l’un des équilibres politiques revendiqués par le document.

Les troisième et quatrième piliers concernent le cœur régalien. Pour les réseaux fédéraux, l’administration veut accélérer la modernisation et la résilience via les meilleures pratiques de cybersécurité, le chiffrement post-quantique, l’architecture zero trust, la transition vers le cloud et l’usage de solutions cyber dopées à l’IA. Pour les infrastructures critiques, la priorité porte sur le durcissement des chaînes d’approvisionnement, la réduction de la dépendance envers des fournisseurs adverses et la capacité de rétablissement rapide après incident. L’énergie, la finance, les télécommunications, les centres de données, l’eau et les hôpitaux figurent parmi les secteurs explicitement visés.

Les deux derniers piliers prolongent cette logique par la technologie et les compétences. La stratégie entend protéger l’avantage intellectuel américain, soutenir la sécurité des cryptomonnaies et des technologies blockchain, promouvoir le post-quantique et le calcul quantique sécurisé, mais aussi défendre l’ensemble de la pile technologique de l’IA, y compris les centres de données, les modèles et les infrastructures. Le texte évoque aussi l’adoption rapide d’outils cyber fondés sur l’IA, y compris l’agentic AI, pour détecter, détourner et tromper les acteurs malveillants. Enfin, la Maison-Blanche présente la main-d’œuvre cyber comme un actif stratégique et veut fluidifier les passerelles entre universités, écoles techniques, entreprises, capital-risque, administration et armée afin de bâtir un vivier plus large et mieux aligné sur les besoins nationaux.

Cette stratégie place ainsi le cyber au croisement de la dissuasion, de l’influence, de la sécurité économique et de la gouvernance technologique, avec en toile de fond une compétition mondiale pour le contrôle des standards numériques.

Cybersécurité, Justice, loi

Cyberfraude : Washington prépare un fonds pour les victimes

La Maison Blanche veut répondre à l’explosion mondiale des escroqueries numériques. Un décret présidentiel prévoit indemnisation des victimes et offensive coordonnée contre les réseaux criminels transnationaux.

La cyberfraude représente désormais une menace économique majeure pour les États-Unis. Chaque année, des escroqueries en ligne dérobent des milliards de dollars aux particuliers américains. Face à cette situation, l’administration Trump a publié un décret présidentiel ordonnant une réponse coordonnée de l’ensemble du gouvernement. Objectif affiché : démanteler les organisations criminelles transnationales à l’origine de ces arnaques et créer un mécanisme d’indemnisation pour les victimes. Le texte prévoit la mobilisation de plusieurs ministères, l’exploitation des capacités du secteur privé de cybersécurité et une pression diplomatique accrue contre les États accusés d’héberger ou de tolérer ces réseaux.

Un plan fédéral contre l’économie mondiale de la cyberfraude

Le décret présidentiel publié vendredi fixe un calendrier précis à plusieurs agences fédérales. Elles disposent de 120 jours pour produire un plan d’action détaillant les mesures destinées à prévenir, perturber, enquêter et démanteler les organisations criminelles transnationales impliquées dans la cybercriminalité.

Ce plan doit notamment viser les réseaux opérant des centres d’escroquerie, souvent situés hors du territoire américain. Ces structures sont spécialisées dans les arnaques financières numériques, allant de faux investissements à des escroqueries sentimentales. Selon le FBI, ces dispositifs criminels soutirent environ 12,5 milliards $ par an aux citoyens américains, soit environ 11,5 milliards d’euros.

Le décret prévoit également la création d’une cellule opérationnelle au sein du National Coordination Center. Cette unité doit centraliser les efforts fédéraux contre ces organisations criminelles. Elle rassemblera plusieurs administrations : Département d’État, Trésor, Défense, Sécurité intérieure et Justice.

La Maison Blanche souligne que l’objectif consiste à améliorer la circulation du renseignement, la coordination opérationnelle et la rapidité de réaction entre institutions. Le dispositif doit également rester aligné sur les cadres juridiques déjà utilisés par les autorités américaines pour lutter contre les cybermenaces provenant de juridictions étrangères.

Le secteur privé pourrait être mobilisé dans ce dispositif. Les entreprises spécialisées en cybersécurité disposent de capacités techniques et de renseignement sur les menaces qui peuvent aider à attribuer les attaques, suivre les infrastructures criminelles et perturber les opérations des acteurs malveillants.

L’administration américaine considère ces activités comme un phénomène structuré et transnational. Rançongiciels, logiciels malveillants, hameçonnage, chantage sexuel, usurpation d’identité ou fraude financière constituent les principales techniques utilisées par ces groupes.

Washington estime que certains régimes étrangers offrent un soutien implicite ou direct à ces réseaux criminels. Selon la Maison Blanche, ces activités alimentent une économie clandestine mêlant fraude numérique, coercition, travail forcé et parfois traite d’êtres humains.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Vers un mécanisme d’indemnisation des victimes

Le décret introduit également un élément inédit dans la stratégie américaine contre la cybercriminalité : un programme d’indemnisation des victimes.

Dans un délai de 90 jours, l’administration devra définir un mécanisme permettant de restituer aux victimes une partie des fonds récupérés lors des opérations judiciaires. Les montants proviendront d’actifs saisis, confisqués ou récupérés auprès des organisations criminelles responsables de ces escroqueries numériques.

Cette approche repose sur un constat simple. Les autorités américaines récupèrent régulièrement des sommes importantes lors d’enquêtes internationales, mais les modalités de redistribution restent souvent floues pour les victimes.

La semaine précédant l’annonce, les autorités ont saisi plus de 2 millions $ (1,84 million d’euros) auprès d’escrocs égyptiens. L’année précédente, le ministère de la Justice avait également annoncé la saisie d’environ 15 milliards $ en bitcoins, soit près de 13,8 milliards d’euros, sur des comptes liés selon l’accusation au dirigeant d’un conglomérat cambodgien suspecté d’avoir dirigé un vaste empire d’escroquerie.

Nicole Tisdale, ancienne responsable du Conseil de sécurité nationale à la Maison Blanche, estime que le décret marque un changement stratégique. Elle souligne que la cybercriminalité ignore les frontières juridiques alors que les réponses institutionnelles restent souvent fragmentées.

Selon elle, le texte impose explicitement une coordination de l’ensemble de l’appareil fédéral autour d’un objectif commun : protéger les victimes et renforcer la réponse opérationnelle.

Le décret prévoit également des mesures de pression diplomatique contre les pays accusés d’abriter ces réseaux criminels. Les outils envisagés incluent la réduction de l’aide étrangère, l’application de sanctions ciblées, des restrictions de visas ou encore des sanctions commerciales. Le texte mentionne aussi l’expulsion immédiate de responsables ou diplomates étrangers considérés comme complices.

Le directeur national de la cybersécurité, Sean Cairncross, a expliqué que la publication du décret coïncidait volontairement avec la nouvelle stratégie nationale de cybersécurité. L’objectif consiste à mobiliser l’ensemble des instruments de puissance américains, y compris la diplomatie.

Le Département d’État devra ainsi développer une stratégie diplomatique pour pousser les gouvernements étrangers à agir contre les centres d’escroquerie présents sur leur territoire.

Dans cette logique, le ministère de la Justice prévoit d’augmenter les arrestations et les procédures d’extradition visant les responsables de ces réseaux criminels.

L’enjeu dépasse la simple cyberdéfense. Pour Washington, il s’agit désormais de s’attaquer à une industrie criminelle mondialisée dont l’infrastructure numérique constitue l’un des piliers.

La bataille contre la cyberfraude devient ainsi un dossier mêlant renseignement, diplomatie et guerre économique numérique.

Cybersécurité, Justice, loi, Securite informatique

Freedom.gov, le portail américain qui défie les lois européennes

À Washington, un projet discret monte en puissance : un portail en ligne destiné aux Européens pour accéder à des contenus interdits chez eux, avec en toile de fond censure, influence et cybersécurité.

Le département d’État américain prépare un site, hébergé sur freedom.gov, pour permettre à des résidents d’Europe et d’autres pays de consulter des contenus interdits par leurs gouvernements. D’après trois sources proches du dossier citées par Reuters, il s’agirait notamment de documents relevant du discours de haine et de la propagande terroriste. Les équipes auraient évoqué l’intégration d’un VPN afin de masquer l’origine du trafic en le faisant apparaître comme américain, sans journaliser l’activité. Le domaine a été enregistré le 12 janvier et affiche un message de mobilisation. L’initiative, supervisée par Sarah Rogers, inquiète déjà pour ses effets diplomatiques.

Un outil d’accès, et un signal de puissance

Le décor est presque vide, mais le message est clair. Sur freedom.gov, un site à peine en ligne n’affiche pour l’instant qu’une phrase de mise en scène : « L’information, c’est le pouvoir. Réaffirmez votre droit à la liberté d’expression. Soyez prêts. » L’absence de contenus visibles ne dit pas l’absence d’intention. Selon trois sources proches du dossier citées par Reuters, le département d’État américain développe un portail pensé pour des résidents d’Europe et d’autres pays, afin qu’ils consultent des contenus interdits par leurs autorités. Dans la liste évoquée, on trouve des documents classés comme discours de haine et propagande terroriste.

L’architecture technique envisagée révèle l’angle cyber. Des responsables auraient discuté de l’ajout d’un VPN intégré, conçu pour masquer l’origine du trafic des visiteurs. Concrètement, l’objectif serait de faire passer leur navigation pour une activité américaine. Autre point sensible : aucune activité ne serait enregistrée. Dans un contexte où les États et certaines plateformes multiplient la traçabilité, promettre l’absence de journaux est, en soi, une prise de position. Reuters note toutefois que la supériorité de cette solution par rapport aux outils classiques reste floue. Le texte ne tranche pas : s’agit-il d’un service réellement inédit, ou d’un habillage institutionnel d’une promesse déjà accessible par des moyens ordinaires ?

Le calendrier, lui, confirme qu’il ne s’agit pas d’une simple page de communication. D’après le registre fédéral get.gov, le domaine freedom.gov a été enregistré le 12 janvier. Le projet serait supervisé par la sous-secrétaire d’État à la diplomatie publique et aux affaires publiques, Sarah Rogers. Le portail devait initialement être présenté à la Conférence de Munich sur la sécurité, avant que la présentation ne soit reportée pour une raison inconnue. Ce report nourrit une tension narrative : le chantier avance, mais l’annonce publique se dérobe, comme si le sujet exigeait une préparation politique autant qu’un déploiement technique.

Dans l’ombre, un portail de ce type opère sur deux niveaux. Au premier, il promet un accès : contourner des interdictions nationales. Au second, il envoie un signal d’influence : un État revendique la capacité d’ouvrir, à distance, des espaces informationnels fermés par d’autres. La cybersécurité devient alors un langage diplomatique, où l’anonymat, le routage et l’absence de logs se transforment en arguments de politique étrangère.

Liberté d’expression, régulation et collision juridique

C’est ici que le projet change de nature. Reuters souligne que l’Europe et les États-Unis n’abordent pas la liberté d’expression avec les mêmes fondations. Côté américain, la Constitution protège presque tous les discours. Côté Union européenne, les restrictions sont plus nombreuses, et un corpus de règles existe depuis 2008 pour obliger les grandes plateformes, notamment Meta et X, à retirer rapidement des contenus illégaux. Dans ce récit, X est aussi mentionné comme « extrémiste » et interdit en Russie, signe que les étiquetages politiques varient selon les juridictions, et que l’espace numérique se fragmente.

Les sanctions financières servent d’outil de contrainte. Reuters cite un exemple : en décembre dernier, X a reçu une amende de 140 millions de dollars (montant en euros non calculable ici faute de taux de change fourni) pour non-respect de la réglementation. Dans un tel paysage, un portail américain visant des contenus illégaux en Europe risque d’être lu comme une provocation. Reuters avertit que l’initiative pourrait aggraver des relations déjà tendues entre Washington et l’Europe. Pire, elle placerait de facto les États-Unis dans la posture d’un État encourageant des citoyens étrangers à enfreindre les lois de leurs propres pays.

La dimension politique est explicitée par les éléments attribués à l’administration Trump. Des responsables qualifient la réglementation européenne de « censure d’extrême droite ». Depuis octobre dernier, Sarah Rogers se serait rendue dans plus de dix pays européens et aurait rencontré des représentants d’organisations d’extrême droite présentées comme « opprimées » par Washington. En parallèle, la Stratégie de sécurité nationale de décembre aurait mis en garde contre la « destruction » menaçant l’Europe à cause de sa politique migratoire, et annoncé l’intention de soutenir les opposants à cette politique au sein des pays européens. Dans ce cadre, freedom.gov ressemble moins à un simple portail qu’à un instrument de soutien, de récit et de pression.

Kenneth Propp, ancien fonctionnaire du département d’État spécialisé dans la réglementation numérique européenne, aujourd’hui au Centre européen de l’Atlantic Council, résume l’impact attendu : une « attaque directe » contre la régulation européenne. Selon lui, freedom.gov « sera perçu en Europe comme une tentative des États-Unis de saper le droit national ». En termes de cyber-renseignement, l’enjeu dépasse l’accès à des contenus : il touche à la capacité d’un État à façonner les normes, à contourner les cadres adverses, et à tester, grandeur nature, la résilience juridique et technique des démocraties.

Derrière la promesse de « liberté », freedom.gov pourrait surtout mesurer jusqu’où l’influence américaine peut s’exercer, en ligne, contre des règles européennes, sans déclencher de riposte immédiate.

Cybersécurité, Justice, loi, Mise à jour

La CISA ordonne le retrait des appareils en fin de vie

Washington impose un calendrier serré : inventorier, retirer, puis surveiller en continu. L’objectif est clair, couper l’accès aux périphériques Edge non maintenus, devenus une autoroute pour les intrusions.

La CISA a publié jeudi une directive opérationnelle imposant aux agences civiles fédérales américaines de retirer, sous 12 mois, tout matériel ou logiciel en fin de vie, non pris en charge par le fabricant. L’agence juge ces dispositifs, pare-feu, routeurs, équilibreurs de charge, commutateurs, points d’accès Wi-Fi, appliances de sécurité et IoT, particulièrement vulnérables faute de mises à jour et de correctifs. Les agences ont trois mois pour remettre un inventaire des équipements concernés figurant sur une liste fournie, puis un an pour les mettre hors service. Sous deux ans, elles devront instaurer un processus de détection continue des périphériques arrivant en fin de vie.

Un ultimatum de 12 mois, et le talon d’Achille des réseaux fédéraux

La CISA veut casser une habitude coûteuse : garder en production des appareils que le constructeur ne maintient plus. Jeudi, l’agence américaine de cyberdéfense a publié une directive opérationnelle ordonnant aux agences civiles fédérales de « retirer tout dispositif matériel et logiciel qui n’est plus pris en charge par son fabricant d’origine ». Un calendrier est fixé, avec des étapes obligatoires, et une philosophie simple : ce qui n’est plus patché n’a plus sa place sur un réseau d’entreprise.

Madhu Gottumukkala, directeur par intérim de la CISA, pose le diagnostic sans détour. « Les appareils non pris en charge représentent un risque sérieux pour les systèmes fédéraux et ne devraient jamais rester sur les réseaux d’entreprise », dit-il. Le message vise un inventaire concret : équilibreurs de charge, pare-feu, routeurs, commutateurs, points d’accès sans fil, appliances de sécurité réseau et dispositifs IoT. La CISA explique que ces équipements deviennent des cibles privilégiées dès qu’ils cessent de recevoir des mises à jour de firmware et des correctifs de sécurité. À partir de là, chaque faille, nouvelle ou déjà connue, se transforme en vulnérabilité permanente.

Nick Andersen, directeur adjoint exécutif de la CISA pour la cybersécurité, a ajouté lors d’une conférence de presse que les auteurs de ces attaques visant les périphériques réseau « comprennent des personnes liées à des États ». Il refuse toutefois de citer des pays ou d’identifier les incidents précis ayant conduit à la directive. Surtout, il insiste sur le cadre : « Il ne s’agit pas d’une réponse à un incident ou à une compromission particulière, mais d’une reconnaissance du fait que les appareils non pris en charge représentent un risque très grave pour les systèmes fédéraux. » Autrement dit, la CISA présente cette décision comme un changement structurel, pas comme une réaction à chaud.

Les chiffres de la menace ne sont pas donnés, mais le vocabulaire employé est parlant. La CISA évoque des cybercampagnes « persistantes », « souvent rendues possibles » par des dispositifs non pris en charge, placés à la périphérie du réseau. L’agence ajoute que les campagnes d’exploitation dont elle a connaissance sont « substantielles et constantes », au point de constituer une menace significative pour les actifs fédéraux. Le terme “Edge” résume l’enjeu : ces boîtiers sont au contact d’Internet, voient passer les flux, et s’imbriquent souvent dans l’identité, donc dans l’accès.

Inventorier, retirer, puis détecter, une discipline imposée

La directive ne se contente pas d’un principe. Elle impose une cadence. Les agences civiles fédérales ont trois mois pour fournir à la CISA un inventaire de tous les appareils présents sur leurs réseaux qui figurent sur une liste fournie d’équipements en fin de vie. Ensuite, au bout d’un an, tous les dispositifs identifiés devront être mis hors service. Enfin, dans un délai de deux ans, chaque agence devra mettre en place un processus de détection continue afin de repérer, au fil du temps, les périphériques susceptibles d’arriver en fin de vie. La logique est celle d’un contrôle permanent : l’obsolescence n’est pas un projet ponctuel, c’est un flux.

En parallèle, les agences reçoivent l’ordre de mettre à jour tous leurs appareils et de remplacer ceux en fin de vie par des équipements capables de recevoir des mises à jour de sécurité. Cette formulation vise une vulnérabilité organisationnelle autant que technique : acheter un matériel “qui marche” ne suffit plus, il faut acheter une capacité de patch sur la durée, donc une relation de support.

Pour structurer l’effort, la CISA indique avoir créé une liste des périphériques Edge en fin de vie, l’EOS Edge Device List, couvrant les appareils déjà hors service ou qui le seront dans les prochains mois. Mais l’agence précise qu’elle ne publiera pas cette liste. Ce choix illustre une tension classique : aider à la conformité sans fournir aux attaquants un catalogue prêt à l’emploi des équipements à traquer.

Andersen résume la doctrine en une phrase : « Une bonne hygiène informatique commence par l’élimination des périphériques non pris en charge. » La CISA promet aussi un accompagnement des agences qui en ont besoin et un suivi des progrès de conformité. En revanche, elle ne précise pas quels acteurs ni quels incidents ont pesé dans la décision. La directive mentionne seulement des « rapports publics récents faisant état de campagnes ciblant certains fournisseurs », sans que Andersen accepte de dire lesquels.

Le texte rappelle néanmoins un point de contexte : les périphériques Edge sont depuis longtemps des portes d’entrée favorites, et des acteurs étatiques chinois et russes ont mené de multiples campagnes visant des appareils de sociétés comme Barracuda, Ivanti, Fortinet et d’autres. Même sans lier formellement la directive à un cas précis, la mécanique est connue : une faille sur un boîtier exposé, puis l’accès initial, ensuite la persistance, et enfin l’extension latérale au cœur du réseau.

Ce que change vraiment la directive, c’est l’aveu implicite que la bataille ne se gagne pas uniquement avec de la détection. Elle commence avec l’inventaire, et se consolide en fermant les cibles faciles, celles qui ne recevront plus jamais de correctifs, mais qui continuent, trop souvent, à protéger des systèmes critiques.

backdoor, Cybersécurité, Entreprise, IOT, loi, Téléphonie

L’UE durcit la 5G face aux fournisseurs à haut risque

Bruxelles remet la chaîne d’approvisionnement au centre du jeu. Une loi cybersécurité révisée vise les télécoms et 17 secteurs, avec la Chine en ligne de mire.

Depuis janvier 2026, la Commission européenne pousse un paquet cybersécurité pour muscler la résilience de l’UE face aux menaces cyber et hybrides. Le cœur du texte, une loi révisée sur la cybersécurité, étend la logique de la boîte à outils 5G à 18 secteurs critiques, dont les télécommunications. L’objectif est de réduire les dépendances jugées à haut risque dans les chaînes d’approvisionnement TIC, notamment vis-à-vis de fournisseurs de pays tiers. Le périmètre annoncé couvre les 27 États membres, l’EEE (Islande, Liechtenstein, Norvège) et la Suisse. Les opérateurs auraient moins de cinq ans, adoption comprise, pour remplacer des équipements sensibles, avec un coût estimé autour de 7 € par abonné mobile.

Une loi pensée pour la menace hybride

Le texte proposé s’inscrit dans une décennie de crispations, où la cybersécurité n’est plus traitée comme un sujet technique isolé. La Commission place désormais les attaques numériques, la coercition économique et la pression géopolitique dans un même tableau, avec des acteurs étatiques étrangers régulièrement cités, dont ceux associés à la Chine. En arrière-plan, la guerre d’agression de la Russie contre l’Ukraine, entrée dans sa quatrième année, a durci la lecture du risque, en particulier l’idée d’actions coordonnées ou convergentes entre Moscou et Pékin.

Le projet vise la chaîne d’approvisionnement des technologies de l’information et de la communication. Il cherche à empêcher des dépendances considérées comme dangereuses, en imposant une sélection plus stricte des technologies et des fournisseurs critiques. La proposition couvre 18 secteurs, calés sur NIS 2, répartis entre 11 domaines à haute criticité, énergie, transports, banque, infrastructures de marché financier, santé, eau potable, eaux usées, infrastructure numérique, administration publique, spatial et télécommunications, et 7 autres secteurs critiques, services postaux et messagerie, déchets, chimie, agroalimentaire, industrie manufacturière, fournisseurs de services numériques et recherche.

Strand Consult, très présent dans le débat depuis 2018, explique avoir vu venir l’extension du sujet au-delà de la 5G. Le cabinet rappelle l’effet d’entraînement de la boîte à outils 5G lancée en 2020, d’abord centrée sur les réseaux mobiles, puis appelée à toucher le fixe, le satellite, et, désormais, d’autres industries. La proposition, volumineuse, environ 270 pages, prévoit une procédure accélérée pour les réseaux mobiles, fixes et satellitaires, car les télécoms sont déjà encadrés par la 5G Toolbox. Les 17 autres secteurs entreraient, eux, dans un schéma d’évaluation comparable, incluant le risque supply chain et des applications sectorielles.

Le calendrier donne la mesure de la tension. L’adoption pourrait prendre un an à un an et demi. Ensuite, les opérateurs disposeraient de trois ans pour appliquer les règles sur les infrastructures critiques. Ceux qui utilisent encore des fournisseurs à haut risque auraient donc moins de cinq ans pour sortir des équipements concernés, souvent déjà en milieu ou fin de vie. C’est là que le cyber devient renseignement, une dépendance matérielle se transforme en variable stratégique.

Le vrai coût du remplacement et la carte des dépendances

L’argument le plus répété, ces dernières années, affirme que restreindre Huawei ou ZTE ralentit la 5G et renchérit le déploiement. Strand Consult conteste cette narration, en décrivant trois familles d’opérateurs : ceux qui ont basculé vers des fournisseurs chinois en migrerant de la 4G vers la 5G, ceux qui ont corrigé tôt leur trajectoire, ou opèrent dans des pays appliquant la 5G Toolbox, et ceux qui continuent à s’appuyer sur des fournisseurs chinois là où la boîte à outils est absente ou partielle. Le cabinet insiste sur un point, de nombreux opérateurs ont choisi des fournisseurs jugés fiables sans explosion des coûts, ni retard visible.

Le Danemark sert d’exemple narratif. Deux réseaux mobiles 4G sur trois y avaient été construits avec Huawei, mais la bascule vers la 5G s’est faite avec des fournisseurs reconnus. Le pays a lancé la 5G très tôt et affiche aujourd’hui, selon Strand Consult, la meilleure couverture 5G de l’UE. Copenhague applique une approche fondée sur le risque, via une loi imposant le retrait des équipements de fournisseurs à haut risque. En 2023, TDC a reçu l’ordre de remplacer son réseau WDM Huawei avant 2027, dans un cadre où l’évaluation est portée par l’Agence danoise de la résilience.

À l’échelle européenne, Strand Consult décrit une photographie contrastée. Sur environ cent réseaux mobiles dans l’UE, une soixantaine seraient déjà assurés comme « réseaux propres ». Sur les quarante restants, une dizaine auraient une exposition limitée, entre 10 et 30 %, et ne seraient pas forcément ciblés par l’analyse de connectivité des fournisseurs. Reste une trentaine d’opérateurs, avec un RAN composé à 35 % jusqu’à 100 % de composants issus de fournisseurs à haut risque, surtout dans des pays où la 5G Toolbox n’est pas pleinement appliquée. Au début de 2026, l’estimation avancée est claire, environ 30 % des équipements installés dans l’UE, l’EEE et la Suisse proviendraient de fournisseurs à haut risque.

La géographie du remplacement concentre le risque, et donc la bataille politique. L’Allemagne, l’Italie et l’Espagne compteraient, à elles trois, plus de 55 % des équipements à remplacer sur cinq ans. Vodafone et Deutsche Telekom apparaissent comme nœuds critiques. DT serait fournie par Huawei à 58 % en Allemagne, et à 100 % en Grèce, Autriche et République tchèque, avec des niveaux élevés en Croatie et Pologne, tandis que sa filiale T-Systems revend des solutions cloud conçues et opérées par Huawei. Vodafone, de son côté, dépendrait entièrement de Huawei en République tchèque, Grèce, Hongrie et Roumanie, avec 67 % en Espagne et 53 % en Allemagne. Le sujet bascule alors du régulateur vers la défense, les forces armées européennes utiliseront la 5G des opérateurs, et l’exposition à des équipements chinois devient un paramètre de résilience collective.

Reste la facture, nerf de la guerre et angle d’influence. Strand Consult rappelait qu’en 2020, avec 86 % de la population européenne abonnée au mobile, le remplacement des équipements évolutifs représentait 3,5 milliards d’euros, soit 7,40 € par abonné, en investissement unique. La Commission, sur la base de données de l’Observatoire 5G et d’une transition de trois ans, estime 3,4 à 4,3 milliards d’euros pour les équipements non évolutifs, et un maximum de 6,5 à 8,3 € par abonné si la charge est répercutée. La Commission affirme aussi que la simplification des obligations pourrait générer jusqu’à 15,3 milliards d’euros d’économies sur cinq ans, de quoi neutraliser une partie du choc initial.

Dans le récit de Strand Consult, les opérateurs les plus exposés pourraient tenter d’amplifier les coûts, comme au Royaume-Uni en 2019, mais les échanges investisseurs cités contredisent l’idée d’un blocage automatique. BT évoquait 100 millions de livres sterling par an pendant cinq ans, et Vodafone parlait d’environ 200 millions d’euros pour une trajectoire de retrait du cœur de réseau, en alertant surtout sur le risque d’accélérations irréalistes. Au final, la proposition européenne impose une question de renseignement économique autant que de cyber, qui paie, le contribuable ou l’actionnaire, quand une dépendance technique devient un risque stratégique.

La bataille se jouera sur un terrain discret, cartographie des dépendances, arbitrages d’investissement, et capacité des États à traduire le risque cyber en décisions industrielles.

Justice, loi

Conformité DORA et NIS2 : le choc opérationnel des SGP

Dans les SGP, la conformité cyber n’est plus un dossier annexe. DORA et NIS2 imposent une mécanique vérifiable : risques cartographiés, fournisseurs tenus, incidents tracés, tests menés, preuves prêtes.

Pour les sociétés de gestion de portefeuille (SGP), DORA et NIS2 transforment la cybersécurité en obligation démontrable, au-delà des politiques écrites. Ce qui change concrètement tient à cinq piliers : cartographier les risques et les actifs critiques, encadrer les prestataires et la chaîne de sous-traitance, structurer la gestion des incidents avec des preuves exploitables, organiser des tests réguliers et réalistes, et conserver des éléments probants en continu. L’enjeu n’est pas seulement de “faire”, mais de pouvoir prouver, à tout moment, qui décide, qui exécute, ce qui est mesuré, et ce qui est corrigé.

Ce qui change : d’une cyber “raisonnable” à une cyber prouvable

Dans une SGP, le quotidien est fait d’arbitrages, d’outils spécialisés et de dépendances invisibles. Jusqu’ici, la cybersécurité pouvait rester une discipline de bon sens, solide sur le papier, inégale dans l’exécution. DORA et NIS2 déplacent le centre de gravité : le sujet n’est plus la conformité déclarative, mais la conformité observable. Ce basculement se lit dans un mot qui revient partout, même quand il n’est pas prononcé : la preuve.

La première marche, c’est la cartographie des risques. Pas une liste générique, mais une vision qui relie processus, données, applications, accès et scénarios de défaillance. Une SGP doit pouvoir expliquer, sans hésiter, ce qui est critique, pourquoi, et ce que cela implique en termes de mesures. La tension naît ici : cartographier, c’est aussi admettre ses angles morts. Et une fois l’inventaire posé, chaque exception devient une dette. Dans un univers où un incident se joue souvent sur un compte trop large ou un flux mal compris, l’exercice n’est pas administratif, il est tactique.

Deuxième déplacement, la gestion des fournisseurs. Les SGP fonctionnent avec des briques externes, hébergement, logiciels, données, support, infogérance, parfois en cascade. DORA et NIS2 rendent cette chaîne impossible à ignorer. Il ne suffit plus de “faire confiance” à un prestataire : il faut encadrer, suivre, et réagir. Concrètement, cela pousse à clarifier qui fait quoi, qui accède à quoi, comment les accès sont retirés, et comment la sécurité est contrôlée dans la durée. La relation change de nature : un contrat devient un mécanisme de contrôle. La vigilance se joue aussi dans la capacité à challenger des réponses standardisées et à refuser les zones floues. C’est dans ces interstices que se cachent les incidents les plus coûteux, et les plus difficiles à attribuer.

Troisième point, la gestion des incidents. Là encore, la nouveauté n’est pas l’existence d’un plan, mais son opérabilité et sa traçabilité. Un incident n’est plus seulement une panne à réparer, c’est une séquence à documenter. Qui a détecté, à quelle heure, avec quel signal. Quelles décisions ont été prises, par qui, sur la base de quels éléments. Quels impacts ont été mesurés, quelles mesures de confinement ont été appliquées, et comment le retour à la normale a été contrôlé. Dans une logique cyber-renseignement, cette chronologie est capitale : elle permet d’identifier un mode opératoire, de comprendre une propagation, et de réduire le risque de récidive. Sans traces, on reconstruit une histoire. Avec des traces, on produit des faits.

Pour mettre ces exigences en musique, certaines SGP s’appuient sur une entreprise de sécurité informatique, afin de structurer méthode, tests et documentation, sans confondre vitesse et précipitation.

Comment s’y préparer : tests, evidences, et gouvernance sans fiction

La préparation se joue dans la répétition et le réalisme. Les tests ne sont pas un exercice de communication, ils doivent créer des frottements. Tester un incident, ce n’est pas lire un scénario, c’est éprouver des délais, des rôles, des décisions, et la qualité des informations disponibles. L’objectif est double : trouver ce qui casse, et générer des preuves. Une SGP doit être capable de montrer ce qui a été testé, ce qui a été observé, et ce qui a été corrigé. Le correctif compte autant que le test, car il montre une boucle de maîtrise, pas un théâtre de conformité.

Cette logique oblige à revoir la production de preuves. Les éléments probants ne se fabriquent pas à la veille d’un contrôle. Ils s’accumulent, comme des journaux de bord : comptes rendus, validations, tickets, journaux techniques, plans de remédiation, décisions de gouvernance. La difficulté est de rester simple : trop de documents tue la lisibilité, pas assez tue la crédibilité. La bonne cible est une preuve utile, reliée à un risque identifié et à une mesure effective.

Reste la gouvernance. DORA et NIS2 imposent une clarté sans échappatoire : qui porte le risque, qui arbitre, qui accepte une exception, qui finance une correction. Une organisation peut survivre avec des zones grises, mais elle ne peut pas démontrer sa maîtrise avec des responsabilités floues. La préparation passe donc par des rôles explicites, des circuits de décision courts, et une capacité à prioriser. Car le piège, dans les SGP, est connu : traiter l’urgence technique sans traiter la cause structurelle, puis découvrir que la même faille se déplace chez un fournisseur, un outil ou un processus voisin.

Dans ce cadre, la conformité devient un avantage de renseignement interne : mieux voir son système, ses dépendances et ses signaux faibles, c’est réduire l’espace où un adversaire peut se dissimuler.

Cybersécurité, Entreprise, Justice, loi

La CNIL durcit le ton en 2025, amendes record

En 2025, la CNIL a tranché 259 fois, avec 83 sanctions et près de 486,8 millions d’euros d’amendes. Derrière ces chiffres, une pression nette sur les traceurs, la surveillance au travail et la sécurité.

La CNIL dresse un bilan 2025 marqué par 259 décisions, dont 83 sanctions, 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements. Les sanctions totalisent 486 839 500 euros, réparties entre 78 amendes, des injonctions sous astreinte, trois liquidations d’astreinte et deux rappels à l’ordre, avec dix décisions rendues publiques. Les cookies et traceurs restent un front prioritaire, avec 21 sanctions et deux amendes majeures à 325 millions et 150 millions d’euros. La CNIL cible aussi la vidéosurveillance des salariés, les sous-traitants et, via les mises en demeure, l’aide sociale à l’enfance et les services en ligne utilisés par des mineurs.

Cookies, traceurs, et l’illusion du consentement

Le chiffre frappe d’emblée : 486 839 500 euros d’amendes cumulées pour 83 sanctions en 2025. Ce total n’est pas qu’un record comptable, il raconte une ligne de conduite. La CNIL veut faire comprendre qu’un bandeau de cookies mal conçu n’est plus une “erreur de paramétrage”, mais un dispositif qui peut priver l’internaute d’un choix réel. Sur l’année, 16 sanctions ont été rendues par la formation restreinte, dans la procédure dite ordinaire, tandis que 67 ont été décidées dans le cadre simplifié instauré en 2022, par le président de la CNIL ou un membre de cette formation. Le message est simple : l’arsenal existe, il est utilisé, et il va vite.

Dans le détail, le paquet de sanctions comprend 78 amendes, dont 27 assorties d’injonctions sous astreinte. À cela s’ajoutent trois décisions de liquidation d’astreinte, autrement dit le paiement exigé quand un organisme n’exécute pas l’ordre donné dans une sanction précédente, et deux rappels à l’ordre. Dix décisions ont été rendues publiques, un levier de réputation que l’autorité active quand l’exemplarité devient un outil de conformité.

La bataille la plus lisible reste celle des cookies et autres traceurs. Cinq ans après ses lignes directrices et ses recommandations, la CNIL a poursuivi son plan d’action et ses contrôles ont mis au jour des non-conformités. Vingt-et-un acteurs ont été sanctionnés pour des manquements variés : dépôt de traceurs sans consentement, informations trop pauvres pour permettre un accord éclairé, refus de l’utilisateur ignoré, ou retrait du consentement rendu inopérant. L’enjeu, souligné par les décisions, tient à l’asymétrie : des données peuvent être collectées et exploitées sans que la personne s’en rende compte, ou sans qu’elle puisse réellement s’y opposer.

Le durcissement s’incarne surtout dans deux amendes massives, à 325 millions et 150 millions d’euros. L’argument de l’autorité est frontal : les règles ne sont plus nouvelles, la CNIL dit avoir largement communiqué dessus depuis des années, et les acteurs concernés ne pouvaient pas prétendre les découvrir. Derrière la conformité juridique, c’est un sujet de renseignement économique et d’influence qui affleure : maîtriser les traceurs, c’est maîtriser les flux de données qui alimentent le profilage, la mesure d’audience, le ciblage et, parfois, des chaînes de sous-traitance difficiles à cartographier.

Surveillance au travail, sous-traitants et sécurité des données

Un autre terrain révèle la même tension entre sécurité et contrôle : la vidéosurveillance des salariés. En 2025, 16 organismes ont été sanctionnés pour non-respect du cadre applicable. La CNIL rappelle une limite : en dehors de circonstances exceptionnelles, par exemple liées à des exigences particulières de sûreté ou à la lutte contre le vol, une captation vidéo permanente constitue une atteinte aux données personnelles. Filmer en continu des caissiers ou des bureaux, c’est transformer l’outil de protection en instrument de suivi. Plus sensible encore, les caméras dissimulées ne peuvent être tolérées qu’à titre exceptionnel, et seulement si l’équilibre est respecté entre l’objectif poursuivi, protéger biens et personnes, et la vie privée des salariés.

La CNIL insiste aussi sur un point souvent sous-estimé dans les organisations : la responsabilité des sous-traitants. Au-delà des dossiers cookies et vidéosurveillance, la formation restreinte a sanctionné des manquements aux obligations liées aux données confiées. Le rappel est net : mettre en place des mesures techniques et organisationnelles adaptées au niveau de risque, n’agir que sur instruction du responsable de traitement, et effacer les données à la fin de la relation contractuelle. Ici, la dimension cyber est immédiate : une chaîne de sous-traitance mal gouvernée élargit la surface d’attaque, multiplie les comptes, les accès, les copies, et rend l’incident plus probable comme plus opaque.

La procédure simplifiée, elle, dessine une typologie des fautes répétées. Trois motifs dominent en 2025 : sécurité insuffisante, absence de coopération avec la CNIL, et non-respect des droits des personnes. Quatorze organismes ont été épinglés pour ne pas avoir déployé toutes les mesures nécessaires à la confidentialité, avec des exemples concrets comme des mots de passe trop faibles ou des comptes partagés entre utilisateurs. Quatorze autres ont été sanctionnés pour n’avoir pas répondu aux sollicitations de la CNIL. Enfin, quatorze décisions visent la mauvaise prise en compte de demandes d’effacement, d’opposition ou d’accès, là où le RGPD impose une mécanique de réponse traçable.

La prospection, commerciale comme politique, n’échappe pas au contrôle : dix sanctions concernent des opérations de démarchage. La CNIL rappelle que la prospection électronique requiert le consentement, qu’il s’agisse d’envoi direct ou de transmission des données à des partenaires. Elle a aussi sanctionné cinq candidats aux élections européennes et législatives de 2024, en soulignant l’obligation de pouvoir prouver la licéité des messages envoyés.

À côté des sanctions, 143 mises en demeure structurent la prévention sous contrainte. Plusieurs concernent l’aide sociale à l’enfance, avec des manques sur la conservation des dossiers de mineurs, l’information des personnes, la gestion des habilitations et des mots de passe, la tenue du registre des traitements, ou encore la réalisation d’une analyse d’impact. D’autres visent des sites qui déposaient des traceurs sans offrir un refus simple, ou sans respecter le retrait du consentement. Enfin, des applications mobiles et des jeux en ligne, dont une part importante des usagers sont mineurs, ont été mis en demeure de renforcer le contrôle de l’âge et d’améliorer la transparence.

Dans tous les cas, la CNIL verrouille un principe souvent oublié : les amendes, qu’elles touchent le public ou le privé, sont recouvrées par le Trésor public et versées au budget de l’État.

Au fond, ce bilan 2025 décrit une même logique de cyber-renseignement : réduire les angles morts de la donnée, là où se nichent à la fois le risque d’attaque et la tentation de surveiller.