Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

58 articles trouves · #solution

CE (13/02/2026): Pseudonymisation ≠ anonymisation — DLP et transferts RGPD

Le Conseil d’État confirme: des données de santé « pseudonymisées » restent personnelles si ré‑identifiables. Voici comment une DLP robuste sécurise les flux et la conformité aux articles 32 et 44‑49 du RGPD.

Stryker: effacement massif — pourquoi des sauvegardes immuables et isolées

Après l’effacement à distance de dizaines de milliers d’appareils chez Stryker, une architecture de sauvegarde immuable et isolée s’impose pour reprendre vite et démontrer la conformité DORA.

Unimed (DE) : 72 000+ dossiers volés — DLP, article 32 et transferts RGPD

Mi-avril 2026, l’outsourcer Unimed s’est fait voler des données de 72 000+ patients. Voici une pile DLP concrète pour prévenir l’exfiltration et démontrer la conformité à l’article 32 et aux transferts (art. 44‑49) du RGPD.

VG Düsseldorf recadre l’e‑mail: TLS peut suffire, pas d’E2E par défaut

Le 02/04/2026, le VG Düsseldorf juge qu’au titre de l’art. 32 RGPD, l’e‑mail n’exige pas d’E2E par défaut: une transport encryption (TLS) peut suffire selon le risque.

ANSSI — Analyse de risque chiffrement: actions RGPD art. 32 et CSSF 22/806

Le 27/05/2026, l’ANSSI publie une analyse de risque « chiffrement ». Voici comment traduire ces recommandations en une architecture “at‑rest” et “in‑transit” alignée RGPD art. 32 et CSSF 22/806, avec feuille de route post‑quantique.

Microsoft : cryptomineur via SEO/IA — EDR/XDR et NIS 2 en action

Microsoft a dévoilé une campagne active de cryptominage diffusée par empoisonnement SEO et recommandations d’IA. Voici comment une pile EDR/XDR détecte, contient et prouve, conformément à NIS 2 et DORA.

Skimmer SVG 1×1 Magecart sur Magento: DLP et conformité RGPD

Sansec révèle un skimmer carte caché dans un SVG 1×1 visant ~100 sites Magento, avec exfiltration vers 23.137.249.67. Voici comment une DLP bien réglée répond aux articles 32 et 44‑49 du RGPD.

Charter: 4,9 M d’emails exposés — la MFA anti‑phishing s’impose

Un vishing a permis d’abuser un compte Microsoft Entra et d’exfiltrer des données clients depuis Salesforce. La MFA FIDO2/WebAuthn devient l’état de l’art attendu par l’article 32 RGPD.

Conseil d’État 2026 — Health Data Hub: impact DLP et transferts UE

Le Conseil d’État (20/03/2026) valide l’autorisation CNIL du Health Data Hub chez Microsoft Ireland en France et confirme l’absence de transfert hors UE. Une DLP bien configurée permet de le prouver et de l’appliquer techniquement.

ILR — Lignes directrices NIS 2 pour organes de direction (17/02/2026)

L’ILR rappelle l’alerte précoce sous 24 h via SERIMA, puis 72 h et 1 mois. Découvrez comment un SOC/SIEM managé permet de respecter ces jalons NIS 2 sans stress.

Tycoon 2FA : attaque « device code » contre la MFA Microsoft

eSentire (12 mai 2026) détaille une campagne Tycoon 2FA qui abuse le flux OAuth Device Code pour voler des jetons sans mot de passe. Pourquoi une MFA FIDO2/WebAuthn s’impose pour répondre à l’article 32 RGPD.

Cass. fr. (5 mars 2026) rebat les cartes des e‑signatures qualifiées

Depuis le 5 mars 2026, seule une signature électronique qualifiée (QES) inverse la charge de la preuve. Voici comment prouver QTSP, QSCD et LTV pour sécuriser vos contrats et votre conformité.