← Tous les articles

consultant

CNIL vs Free/Free Mobile: 42 M€ et pourquoi passer à la MFA FIDO2

La CNIL a sanctionné Free et Free Mobile de 42 M€ pour une sécurité jugée insuffisante, dont une authentification VPN trop faible. Adopter une MFA FIDO2/WebAuthn répond concrètement à l’article 32 du RGPD et réduit le risque.

Le 13 janvier 2026, la CNIL a infligé 27 M€ à Free Mobile et 15 M€ à Free pour des mesures de sécurité jugées inadaptées, notamment une authentification VPN « pas assez robuste ». Voici comment une MFA résistante au phishing (FIDO2/WebAuthn) répond concrètement à l’article 32 RGPD et évite ce scénario.

Les faits

Selon la CNIL, un attaquant a infiltré en octobre 2024 le SI de Free/Free Mobile, accédant à des données relatives à 24 millions de contrats, dont des IBAN pour certains abonnés communs. Le 13 janvier 2026, la formation restreinte a sanctionné Free Mobile (27 M€) et Free (15 M€), pointant des manquements à l’article 32 du RGPD : procédure d’authentification aux VPN « insuffisamment robuste » et détection d’anomalies « inefficace ». La CNIL a aussi relevé des lacunes dans l’information aux personnes (art. 34) et dans la limitation de conservation chez Free Mobile (art. 5‑1‑e) ; elle a enjoint les sociétés de compléter les mesures sous trois à six mois. Source officielle : CNIL, 14/01/2026 et délibérations SAN‑2026‑001 / SAN‑2026‑002. Couverture presse : BleepingComputer.

Le cadre légal qui s’applique

  • RGPD — article 32 : obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées, au regard des risques, pour garantir un niveau de sécurité adapté (confidentialité, intégrité, disponibilité). Le choix et le niveau des mesures doivent être démontrables. Texte officiel : Eur‑Lex. Pour les organisations basées au Luxembourg, voir aussi le cadre RGPD et les obligations locales.
  • Notifications : lorsque des personnes sont exposées à un risque élevé, l’information doit être claire et complète (art. 34 RGPD). Dans l’affaire Free, la CNIL a jugé l’e‑mail d’avis incomplet (CNIL).
  • Contexte NIS 2/DORA (UE) : pour les entités essentielles/importantes ou financières, les autorités nationales attendent des contrôles d’accès renforcés et une détection efficace. Même hors périmètre strict, ces référentiels influencent l’« état de l’art » apprécié par les autorités.

La solution technique à déployer

MFA résistante au phishing (FIDO2/WebAuthn) pour tous les accès sensibles (VPN, SSO, SaaS critiques, admins). Objectif : éliminer les facteurs « réutilisables » (mots de passe, OTP interceptables) et l’homme‑du‑milieu.

  • Comment ça marche : FIDO2/WebAuthn crée une paire de clés asymétriques par service. La clé privée reste dans l’authentificateur (clé matérielle, enclave de l’OS, smartcard) et signe un défi lié au domaine (« origin binding »), bloquant le hameçonnage et le proxying. Réf. tech : FIDO Alliance, NIST SP 800‑63B.
  • En pratique :
    • VPN/Remote Access : basculer l’accès VPN derrière l’IdP (SAML/OIDC) et exiger FIDO2 pour tout compte interne/tiers. Désactiver l’authentification par simple mot de passe/OTP.
    • SSO et SaaS : activer l’enrôlement guidé des passkeys, imposer FIDO2 aux rôles à privilèges et aux données sensibles (finance, RH, CRM).
    • Posture device : lier l’authentification à la conformité du poste (MDM/EDR) et à des stratégies de conditional access.
    • SecOps : journaliser attestation, provenance, échecs de liaison d’origine, et corréler dans le SIEM pour détecter des tentatives de contournement.
  • Références : ISO/IEC 27001:2022 Annexe A — A.5.15 (contrôle d’accès), A.5.16 (gestion des identités), A.5.17 (informations d’authentification) ; NIST SP 800‑63B (authentificateurs résistants au phishing) ; recommandations européennes citant la préférence FIDO2 pour les accès privilégiés.

Comment Luxgap déploie cela

  • Gouvernance ISO 27001 : nos Lead Implementer/Auditor cadrent la politique d’authentification (A.5.15–17), le registre des risques et la justification documentée du choix FIDO2 pour satisfaire l’article 32 RGPD et, le cas échéant, NIS 2/DORA.
  • SOC managé 24/7 : intégration des logs WebAuthn/IdP/VPN au SIEM, détection d’événements suspects (tentatives sans origin‑binding, échecs d’attestation, élévations anormales), playbooks de réponse (révocation, rotation des clés, blocage conditional access).
  • Consultants CISO externalisé et DPO : alignement avec l’article 32 (preuve de proportionnalité), mise à jour des mentions d’information et gabarits de notification (art. 34), plan de remédiation et de tests périodiques.

Cas concret au Luxembourg ou en UE

Exemple réaliste : une entreprise de services financiers luxembourgeoise (périmètre NIS 2 et DORA) utilisait OTP SMS pour le VPN et des mots de passe complexes pour quelques applications internes. En six semaines, nous avons : (1) migré l’accès VPN derrière l’IdP avec FIDO2 obligatoire, (2) imposé FIDO2 aux administrateurs et aux applications traitant des IBAN, (3) branché les journaux WebAuthn/IdP au SIEM avec alertes sur anomalies d’origine, (4) formé les équipes (enrôlement passkeys, kits d’urgence). Résultat : suppression des OTP réutilisables, réduction nette des tentatives de prise de contrôle via hameçonnage et une capacité de preuve structurée vis‑à‑vis du DPO, de la CSSF et de l’ILR.

Premiers pas concrets

  1. Cartographier les accès critiques : VPN, SSO, SaaS sensibles, comptes à privilèges. Décider où FIDO2 est « obligatoire » d’ici 30 jours (principe « admin‑first »).
  2. Activer FIDO2/WebAuthn dans l’IdP : publier une politique MFA « résistante au phishing », désactiver SMS/OTP de secours non contrôlés, prévoir des clés de récupération en coffre HSM.
  3. Basculer le VPN derrière l’IdP : exiger FIDO2 pour tout accès distant. Tester les scénarios split‑tunnel, always‑on, et le device compliance avec l’EDR/MDM.
  4. Brancher au SIEM : collecter et corréler les événements WebAuthn/IdP/VPN. Définir des règles d’alerte (origine incohérente, échecs répétés, suppression de facteur).
  5. Former et documenter : guides d’enrôlement passkeys, procédures perte/vol, politique de secours (break‑glass) et gabarits de notification art. 34.

Pourquoi c’est clé après Free/Free Mobile

L’affaire Free illustre que, face à l’ampleur des données et aux IBAN, un minimum attendu en 2026 comprend une authentification robuste et une détection efficace. Une MFA résistante au phishing pour les accès VPN/SSO/admin n’est plus un « nice to have » : c’est la manière la plus directe de matérialiser la proportionnalité et l’« état de l’art » visés par l’article 32. En cas d’incident, elle fournit aussi des preuves techniques (attestation, origine, politiques) essentielles pour la défense, la remédiation et la communication aux personnes.

Sources officielles

Besoin d’un accompagnement adapté à votre contexte ? Contactez‑nous via la page Luxgap.

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →