CNIL vs Free: 42 M€ — pourquoi un SOC 24/7 pour tenir NIS 2 art. 23

En janvier 2026, la CNIL a infligé 42 M€ d’amende à Free Mobile (27 M€) et Free (15 M€) après une fuite touchant 24 millions de contrats. L’« incapacité à détecter vite » pèse lourd en sanctions et réputation. Avec NIS 2, détecter, qualifier et notifier en 24 h devient un impératif opérationnel, notamment au Luxembourg (ILR).

Les faits

Le 13 janvier 2026, la CNIL a sanctionné Free Mobile et Free pour manquements de sécurité (art. 32 RGPD) après une intrusion d’octobre 2024 exposant des données liées à 24 millions de contrats d’abonnés, incluant des IBAN. Elle pointe une authentification VPN insuffisante en télétravail et une détection « inefficace » des comportements anormaux. La CNIL reproche aussi une information incomplète des personnes (art. 34 RGPD) et une conservation excessive (art. 5-1-e). Sources: CNIL, 14/01/2026, version EN, et couverture The Register.

Le cadre légal qui s’applique

• RGPD, article 32: sécurité appropriée par des mesures techniques et organisationnelles (authentification, surveillance, détection). Texte: Eur-Lex – RGPD art. 32. Sanctions Free/Free Mobile sur ce fondement: CNIL.
• RGPD, article 34: information des personnes concernées en cas de violation présentant un risque élevé. Eur-Lex – RGPD art. 34.
• NIS 2, article 23: alerte précoce sous 24 h, notification sous 72 h, rapport final sous 1 mois. Guidance ILR (SERIMA): ILR — En cas d’incident, FAQ: ILR — NIS 2 FAQ, référence UE: Directive (UE) 2022/2555, art. 23. Pour aller plus loin côté obligations, voir les obligations NIS 2.

Attente concrète du régulateur

• Détecter et qualifier rapidement les incidents significatifs (capteurs, corrélation, supervision).
• Être capable d’alerter en 24 h avec les éléments minimaux (nature, cause présumée, périmètre, impacts initiaux).
• Protéger par défaut les données, journaliser et surveiller en continu.

La solution: un SIEM/SOC managé, pensé pour la notification 24 h

Objectif: passer d’une sécurité « best effort » à une capacité industrielle de détection et de notification chronométrée. Un SOC managé 24/7 structure ces capacités.

Comment cela fonctionne

• Collecte centralisée (SIEM): VPN, IAM, endpoints/serveurs, pare-feu, proxies, SaaS critiques, cloud. Événements d’authentification, élévations de privilèges, transferts anormaux, accès hors périmètre.
• Corrélation et détection: règles et modèles pour compromission d’accès (MFA défaillante, tentatives massives, sessions anormales), exfiltration (pics de volume, destinations non approuvées), mouvements latéraux.
• Supervision 24/7 (SOC): triage, renseignement de menace, qualification en « incident significatif » (critères sectoriels/impacts NIS 2).
• Orchestration d’alerte: playbooks pour l’alerte précoce 24 h (contenu minimal NIS 2), la mise à jour 72 h, et le rapport à 1 mois (causes racines, remédiation).
• Conservation et forensique: journaux horodatés, intègres, consultables pour investiguer et prouver la diligence (RGPD art. 5/32).

Références de bonnes pratiques

• ISO/IEC 27001:2022 — A.8.15 Journalisation et A.8.16 Surveillance: A.8.15, A.8.16.
• NIST CSF 2.0: fonctions Detect et Respond (DE.AE, RS.AN).
• CIS Controls: 8 (Audit Log Management), 17 (Incident Response).

Comment Luxgap déploie cela

• SOC managé 24/7: intégration de votre SIEM ou déploiement clé‑en‑main (on‑prem/cloud), cas d’usage mappés NIS 2 art. 23 et RGPD art. 32 (« fuite probable de données client », « compromission VPN/MFA », « accès anormal IBAN/PII »). Tableaux de bord « horloge NIS 2 » pour piloter 24 h / 72 h / 1 mois.
• Gouvernance ISO 27001: conception du cadre journalisation/surveillance (politique, portée, rétention), inventaire des sources, procédures d’investigation et notification. Alignement sur A.8.15/A.8.16 et préparation des preuves d’audit.
• Conseil RGPD/NIS 2: qualification, communication aux personnes (art. 34 RGPD) et relation avec l’ILR (SERIMA). Pour le contexte local, voir NIS 2 au Luxembourg (ILR).

Cas concret au Luxembourg/UE

Une entreprise de services B2B régulée (entité importante NIS 2) disposait de journaux épars et d’alertes bruitées. En 6 semaines, nous avons:

• centralisé 12 sources clé (VPN, AD/Azure AD, pare-feu, M365, ERP) dans un SIEM,
• activé 25 règles de détection alignées NIS 2 (accès hors fuseau, anomalie MFA, volumétrie sortante inhabituelle),
• testé un exercice « alerte 24 h » avec le format SERIMA.

Résultat: détection d’une compromission de compte partenaire en moins de 20 minutes, confinement automatisé, et capacité à notifier l’ILR dans les délais avec des éléments vérifiables.

Premiers pas concrets

1. Cartographier vos sources de journaux essentielles et vérifier la rétention (≥ 6 mois opérationnels; à adapter à vos risques).
2. Définir 10 cas d’usage minimum reliés à vos données sensibles (PII/IBAN/clients) et à l’authent (dont VPN/MFA), avec seuils et faux positifs maîtrisés.
3. Établir une procédure « NIS 2 art. 23 »: qui déclenche l’alerte 24 h, quel contenu, qui valide, comment transmettre via SERIMA à l’ILR. Voir ILR.
4. Faire un mini‑table‑top « 90 minutes »: un compte VPN tombe, données clients potentiellement touchées — êtes‑vous capables d’alerter sous 24 h avec des faits sourcés?
5. Boucler avec le DPO: préparer le message art. 34 RGPD aux personnes, pour éviter les lacunes d’information sanctionnées dans l’affaire Free.

Sources officielles

• CNIL — « Violation de données : sanction de 42 M€ à l’encontre des sociétés FREE MOBILE et FREE » (13 janvier 2026): https://www.cnil.fr/fr/sanction-free-2026
• The Register — « France fines telcos €42M for issues leading to 2024 breach » (14 janvier 2026): https://www.theregister.com/security/2026/01/14/france-fines-telcos-42m-for-issues-leading-to-2024-breach/4965344
• ILR Luxembourg — « En cas d’incident » (SERIMA, notification 24 h): https://www.ilr.lu/secteurs-activites/niss/incident/ et FAQ NIS 2: https://www.ilr.lu/secteurs-activites/niss/nis-2/faq/
• Directive (UE) 2022/2555 (NIS 2), article 23: https://nis2resources.eu/fr/directive-2022-2555-nis2/article-23/
• RGPD — art. 32 et art. 34 (Eur‑Lex): https://eur-lex.europa.eu/eli/reg/2016/679/oj
• ISO/IEC 27001:2022 Annexe A — A.8.15 Journalisation, A.8.16 Surveillance: A.8.15, A.8.16

En résumé: l’affaire Free rappelle que « ne pas voir à temps » se paie cash. Un SOC managé, aligné ISO 27001 et prêt pour NIS 2 art. 23, vous permet de détecter, contenir et notifier dans les délais, en réduisant nettement le risque d’amende et d’atteinte à la réputation.