Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

65 articles trouves · #cybersecurite

ILR — Notification d’incident NIS 2 : 24 h pour alerter

Le 5 mai 2026, le Luxembourg a transposé NIS 2. L’ILR publie un guide avec alerte à 24 h, notification à 72 h et rapport à 1 mois. Voici comment un SOC/SIEM managé permet de tenir ces jalons sereinement.

CSSF 25/880 — la campagne PSP ICT Assessment 2026 exige un VM continu

La CSSF a lancé la campagne « PSD2 – PSP ICT Assessment » 2026: chaque PSP doit soumettre une évaluation TIC à jour via eDesk. Un vulnerability management continu répond NIS 2 art. 21 et DORA art. 25–27.

CE (13/02/2026): Pseudonymisation ≠ anonymisation — DLP et transferts RGPD

Le Conseil d’État confirme: des données de santé « pseudonymisées » restent personnelles si ré‑identifiables. Voici comment une DLP robuste sécurise les flux et la conformité aux articles 32 et 44‑49 du RGPD.

Stryker: effacement massif — pourquoi des sauvegardes immuables et isolées

Après l’effacement à distance de dizaines de milliers d’appareils chez Stryker, une architecture de sauvegarde immuable et isolée s’impose pour reprendre vite et démontrer la conformité DORA.

Unimed (DE) : 72 000+ dossiers volés — DLP, article 32 et transferts RGPD

Mi-avril 2026, l’outsourcer Unimed s’est fait voler des données de 72 000+ patients. Voici une pile DLP concrète pour prévenir l’exfiltration et démontrer la conformité à l’article 32 et aux transferts (art. 44‑49) du RGPD.

VG Düsseldorf recadre l’e‑mail: TLS peut suffire, pas d’E2E par défaut

Le 02/04/2026, le VG Düsseldorf juge qu’au titre de l’art. 32 RGPD, l’e‑mail n’exige pas d’E2E par défaut: une transport encryption (TLS) peut suffire selon le risque.

PME sous NIS 2 : une IA défensive plus performante et moins chère qu'un SOC classique

Antivirus, EDR et SIEM classiques ne voient pas le 0-day ni l'attaque qui détourne des outils légitimes. Une IA défensive on-premise, qui raisonne sur le comportement plutôt que sur des signatures, détecte ces attaques inconnues, réagit en moins de 30 secondes et coûte une fraction d'un SOC traditionnel. Démonstration sur un cas concret, minute par minute.

ANSSI — Analyse de risque chiffrement: actions RGPD art. 32 et CSSF 22/806

Le 27/05/2026, l’ANSSI publie une analyse de risque « chiffrement ». Voici comment traduire ces recommandations en une architecture “at‑rest” et “in‑transit” alignée RGPD art. 32 et CSSF 22/806, avec feuille de route post‑quantique.

Microsoft : cryptomineur via SEO/IA — EDR/XDR et NIS 2 en action

Microsoft a dévoilé une campagne active de cryptominage diffusée par empoisonnement SEO et recommandations d’IA. Voici comment une pile EDR/XDR détecte, contient et prouve, conformément à NIS 2 et DORA.

Skimmer SVG 1×1 Magecart sur Magento: DLP et conformité RGPD

Sansec révèle un skimmer carte caché dans un SVG 1×1 visant ~100 sites Magento, avec exfiltration vers 23.137.249.67. Voici comment une DLP bien réglée répond aux articles 32 et 44‑49 du RGPD.

Charter: 4,9 M d’emails exposés — la MFA anti‑phishing s’impose

Un vishing a permis d’abuser un compte Microsoft Entra et d’exfiltrer des données clients depuis Salesforce. La MFA FIDO2/WebAuthn devient l’état de l’art attendu par l’article 32 RGPD.

Conseil d’État 2026 — Health Data Hub: impact DLP et transferts UE

Le Conseil d’État (20/03/2026) valide l’autorisation CNIL du Health Data Hub chez Microsoft Ireland en France et confirme l’absence de transfert hors UE. Une DLP bien configurée permet de le prouver et de l’appliquer techniquement.