Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
58 articles trouves · #solution
CSSF — DORA: registre TIC au 31 mars 2026, l’inventaire devient critique
La CSSF ouvre la collecte DORA du registre des services TIC avec des validations durcies. Sans inventaire/CMDB automatisé et fiable, le dépôt risque le rejet et les angles morts supply chain persistent.
ILR — Notification NIS 2: 24 h pour alerter, votre SOC doit suivre
En juin 2026, l’ILR publie un guide « Notification d’incident NIS 2 » imposant alerte précoce à 24 h, notification à 72 h et rapport final sous 1 mois. Voici la pile SIEM/SOC pour y parvenir sans panique.
CSSF — Ivanti EPMM: RCE exploitée, notification DORA obligatoire
Le 10 février 2026, la CSSF alerte sur deux RCE Ivanti EPMM (CVE‑2026‑1281/1340) activement exploitées et rappelle l’obligation de notifier un incident majeur TIC (Circulaires 25/893 et 24/847).
BSI v2.0 « Protocole et détection » : impacts sur vos logs et votre SIEM
Le BSI a publié en avril 2026 la v2.0 de son minimum standard « Protokollierung und Detektion ». Voici comment aligner journalisation, détection et investigation avec NIS 2 et DORA, et les attentes ILR/CSSF.
ENISA publie sa méthodologie d’exercices cyber (16 fév. 2026)
ENISA publie une méthode complète et un toolkit pour concevoir et conduire des exercices cyber. Voici comment l’aligner avec DORA (art. 24) et NIS 2 pour des preuves de conformité solides.
UniCredit Roumanie: 12 000 € d’amende RGPD — éviter l’envoi erroné
Le 29 mai 2026, l’ANSPDCP a sanctionné UniCredit Bank SA pour défaut de sécurité (art. 32) et notification tardive (art. 33) après des envois à de mauvais destinataires. Voici la DLP concrète qui évite cela et prouve la conformité.
ANSSI — ReCyF : la microsegmentation, levier clé NIS 2
Le ReCyF de l’ANSSI (17 mars 2026) précise des mesures NIS 2 concrètes. La microsegmentation réseau limite les mouvements latéraux, protège les environnements sensibles et facilite la preuve de conformité.
Charter/Spectrum : vishing, Entra, Salesforce — la MFA FIDO2 comme parade RGPD/NIS 2
ShinyHunters aurait vishé un employé de Charter/Spectrum, pris un compte Microsoft Entra et exfiltré des données Salesforce. Une MFA résistante au phishing (FIDO2/WebAuthn) répond à l’art. 32 RGPD et coupe l’accès initial.
CSSF 26/906 : gouvernance et sauvegardes immuables DORA avant le 30 juin
La CSSF 26/906 impose aux EP/EME de revoir gouvernance et gestion des risques d’ici au 30 juin 2026. Des sauvegardes immuables et isolées prouvent la résilience DORA face au ransomware.
Commission européenne: attaque cloud, le CSPM clé sous CSSF 22/806
Le 27 mars 2026, la Commission européenne a confirmé une intrusion et une exfiltration de données touchant l’infrastructure cloud d’Europa.eu. Comment un CSPM répond aux exigences CSSF 22/806 et évite ce scénario.
Roumanie: 125 000 € contre Renault pour défauts de sécurité (art. 32 RGPD)
Le 25 mars 2026, l’ANSPDCP a sanctionné Renault Commercial Roumanie (~125 000 €) pour défauts à l’article 32 RGPD et gouvernance des sous-traitants. Une DLP moderne prouve des mesures « appropriées » et limite les transferts non maîtrisés.
Clinical Diagnostics (NL) : exfiltration gynécologique — DLP alignée RGPD
Après la fuite massive de dossiers chez Clinical Diagnostics, une DLP moderne, alignée sur le RGPD (art. 32 et 44–49), réduit l’exfiltration et fournit les preuves attendues par les autorités.