Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
65 articles trouves · #cybersecurite
ILR — Notification d’incident NIS 2 : 24 h pour alerter
Le 5 mai 2026, le Luxembourg a transposé NIS 2. L’ILR publie un guide avec alerte à 24 h, notification à 72 h et rapport à 1 mois. Voici comment un SOC/SIEM managé permet de tenir ces jalons sereinement.
CSSF 25/880 — la campagne PSP ICT Assessment 2026 exige un VM continu
La CSSF a lancé la campagne « PSD2 – PSP ICT Assessment » 2026: chaque PSP doit soumettre une évaluation TIC à jour via eDesk. Un vulnerability management continu répond NIS 2 art. 21 et DORA art. 25–27.
CE (13/02/2026): Pseudonymisation ≠ anonymisation — DLP et transferts RGPD
Le Conseil d’État confirme: des données de santé « pseudonymisées » restent personnelles si ré‑identifiables. Voici comment une DLP robuste sécurise les flux et la conformité aux articles 32 et 44‑49 du RGPD.
Stryker: effacement massif — pourquoi des sauvegardes immuables et isolées
Après l’effacement à distance de dizaines de milliers d’appareils chez Stryker, une architecture de sauvegarde immuable et isolée s’impose pour reprendre vite et démontrer la conformité DORA.
Unimed (DE) : 72 000+ dossiers volés — DLP, article 32 et transferts RGPD
Mi-avril 2026, l’outsourcer Unimed s’est fait voler des données de 72 000+ patients. Voici une pile DLP concrète pour prévenir l’exfiltration et démontrer la conformité à l’article 32 et aux transferts (art. 44‑49) du RGPD.
VG Düsseldorf recadre l’e‑mail: TLS peut suffire, pas d’E2E par défaut
Le 02/04/2026, le VG Düsseldorf juge qu’au titre de l’art. 32 RGPD, l’e‑mail n’exige pas d’E2E par défaut: une transport encryption (TLS) peut suffire selon le risque.
PME sous NIS 2 : une IA défensive plus performante et moins chère qu'un SOC classique
Antivirus, EDR et SIEM classiques ne voient pas le 0-day ni l'attaque qui détourne des outils légitimes. Une IA défensive on-premise, qui raisonne sur le comportement plutôt que sur des signatures, détecte ces attaques inconnues, réagit en moins de 30 secondes et coûte une fraction d'un SOC traditionnel. Démonstration sur un cas concret, minute par minute.
ANSSI — Analyse de risque chiffrement: actions RGPD art. 32 et CSSF 22/806
Le 27/05/2026, l’ANSSI publie une analyse de risque « chiffrement ». Voici comment traduire ces recommandations en une architecture “at‑rest” et “in‑transit” alignée RGPD art. 32 et CSSF 22/806, avec feuille de route post‑quantique.
Microsoft : cryptomineur via SEO/IA — EDR/XDR et NIS 2 en action
Microsoft a dévoilé une campagne active de cryptominage diffusée par empoisonnement SEO et recommandations d’IA. Voici comment une pile EDR/XDR détecte, contient et prouve, conformément à NIS 2 et DORA.
Skimmer SVG 1×1 Magecart sur Magento: DLP et conformité RGPD
Sansec révèle un skimmer carte caché dans un SVG 1×1 visant ~100 sites Magento, avec exfiltration vers 23.137.249.67. Voici comment une DLP bien réglée répond aux articles 32 et 44‑49 du RGPD.
Charter: 4,9 M d’emails exposés — la MFA anti‑phishing s’impose
Un vishing a permis d’abuser un compte Microsoft Entra et d’exfiltrer des données clients depuis Salesforce. La MFA FIDO2/WebAuthn devient l’état de l’art attendu par l’article 32 RGPD.
Conseil d’État 2026 — Health Data Hub: impact DLP et transferts UE
Le Conseil d’État (20/03/2026) valide l’autorisation CNIL du Health Data Hub chez Microsoft Ireland en France et confirme l’absence de transfert hors UE. Une DLP bien configurée permet de le prouver et de l’appliquer techniquement.