Kodak hacké: ShinyHunters revendique 2,2 M d’enregistrements

Le 17 juin 2026, Eastman Kodak Company a confirmé enquêter sur une violation de données après un accès non autorisé à des informations de l’entreprise. Le groupe d’extorsion ShinyHunters revendique plus de 2,2 millions d’enregistrements incluant des données clients et internes, avec menace de publication. Kodak évoque un « accès temporaire à une quantité limitée de données ». À ce stade, ni le volume exact ni la méthode d’intrusion ne sont publics, mais le scénario d’exfiltration suivie d’extorsion est classique. Référence: BleepingComputer. ([bleepingcomputer.com](https://www.bleepingcomputer.com/news/security/kodak-confirms-data-breach-claimed-by-shinyhunters-extortion-gang/))

Pourquoi cet incident concerne directement les directions et DSI/CISO/DPO en UE? Parce que le vol de tickets clients, de fichiers internes ou de bases exportées déclenche immédiatement des obligations de sécurité et de gouvernance au titre du RGPD. Pour un rappel structuré du cadre applicable, consultez notre page dédiée au RGPD.

Le cadre légal qui s’applique

• Article 32 RGPD — sécurité du traitement: mise en œuvre de mesures techniques et organisationnelles « appropriées » (ex.: chiffrement, tests réguliers, contrôle d’accès). Texte officiel: EUR‑Lex. ([eur-lex.europa.eu](https://www.eur-lex.europa.eu/eli/reg/2016/679/art_32/oj/eng?utm_source=openai))
• Chapitre V (art. 44‑49) — transferts internationaux: tout transfert hors EEE doit respecter les conditions (adéquation, clauses types, mesures supplémentaires si nécessaire). Texte: EUR‑Lex et synthèse CNPD: CNPD (transferts internationaux). ([eur-lex.europa.eu](https://www.eur-lex.europa.eu/eli/reg/2016/679/oj?locale=EN&utm_source=openai))
• CNPD — précisions luxembourgeoises: notion de transfert, décisions d’adéquation (art. 45) et garanties (art. 46), documentation de la base juridique et mesures supplémentaires (EDPB). ([cnpd.public.lu](https://cnpd.public.lu/fr/dossiers-thematiques/transferts-internationaux-donnees-personnelles/notion-transfert-donnees-pays-tiers.html?utm_source=openai))

Concrètement, si des jeux de données (clients, RH, incidents) sont copiés vers une infrastructure contrôlée par des acteurs hors EEE, vous devez:

• établir la base de transfert (adéquation ou clauses/mécanismes de l’art. 46),
• évaluer les risques d’accès par des tiers (ex.: lois locales),
• et, si nécessaire, compléter par des mesures techniques (ex.: chiffrement côté client, DLP empêchant les fuites non chiffrées, journalisation probante).

La solution technique à déployer: une DLP centrée « flux » et « preuve »

Objectif: empêcher, détecter et documenter toute exfiltration non autorisée de données sensibles, via e‑mail, cloud SaaS, navigateurs, endpoints ou canaux « discrets » (API, tunnels, archives).

• Classification et marquage des données: découverte automatique (data discovery) sur PII/PIB, données financières/santé; tags et politiques par sensibilité.
• Politiques d’exfiltration: blocage/quarantaine vers USB, services cloud non approuvés, messageries personnelles; inspection de contenu (patrons IBAN/NIF, dictionnaires, exact data matching).
• Contrôles réseau et endpoint: agents endpoint, proxies/SWG, CASB/CSPM, règles SMTP/HTTPS avec déchiffrement en environnement maîtrisé selon une PIA.
• Chiffrement et tokenisation: chiffrement côté client pour exports autorisés; politique « encrypt‑or‑block »; coffre de clés sous contrôle.
• Journalisation et forensics: logs signés/horodatés pour prouver blocage/autorisation et reconstituer les événements.

Référentiels:

• ISO/IEC 27002:2022 — contrôle 8.12 « Data Leakage Prevention ». ([nqa.com](https://www.nqa.com/medialibraries/NQA/NQA-Media-Library/PDFs/NQA-ISO-27002-Mapping.pdf?utm_source=openai)) et Open Security Architecture.
• NIST CSF 2.0 — catégorie PR.DS (Data Security). (nist.gov)
• CIS Controls v8 — Contrôle 3 « Data Protection ». (cisecurity.org)

Lien avec l’incident Kodak: qu’il s’agisse d’accès aux tickets, de dépôts de fichiers ou de bases clients exportées, une DLP bien paramétrée aurait détecté des volumes atypiques, des destinations non approuvées ou des sorties de fichiers sensibles sans chiffrement, et souvent bloqué l’exfiltration.

Comment Luxgap déploie cela

• Cadrage RGPD et politique de protection des données: nos consultants DPO/CISO externalisés cartographient les traitements, définissent les catégories de données sensibles et rédigent les politiques d’exfiltration pour répondre à l’art. 32 et préparer les preuves des art. 44‑49. Si vous avez besoin d’un DPO externalisé, voyez notre offre de DPO externe.
• Intégration technique par paliers: périmètre pilote (endpoints VIP + e‑mail + 2 SaaS critiques) en mode « monitor » 2‑3 semaines, puis passage en « block » sur les scénarios à haut risque.
• SOC managé 24/7: corrélation DLP avec IAM/EDR/Proxy, détection « low‑and‑slow », notifications immédiates et rapport d’incident prêt pour la CNPD. En savoir plus sur notre SOC managé.
• Gouvernance et preuves: tableaux de bord « conformité » (transferts, exceptions, clés), conservation probante des logs, revues trimestrielles.

Cas concret au Luxembourg ou en UE

Une fiduciaire soumise à NIS 2 et traitant des données clients transfrontalières a déployé en 6 semaines:

• découverte/classification sur 12 To de partages et OneDrive,
• politiques DLP « block unless encrypted » sur e‑mail sortant et uploads web,
• CASB pour restreindre les destinations SaaS,
• rotation des clés KMS sous sa maîtrise.

Résultat: baisse de 78% des sorties non conformes en 30 jours, visibilité temps réel sur les flux vers l’EEE vs pays tiers, et un dossier de preuves prêt à l’inspection (article 5(2)/32 RGPD).

Premiers pas concrets

1. Cartographiez 3 flux critiques d’exfiltration cette semaine: e‑mail sortant, synchronisations cloud, transferts SFTP/API. Notez qui, quoi, où (EEE vs pays tiers).
2. Activez un mode « monitor » DLP sur ces flux avec règles simples: PII/IBAN/passeport; alertez et échantillonnez les faux positifs.
3. Mettez en place un « encrypt‑or‑block » pour les envois hors domaine sur les pièces jointes contenant PII/santé/finance; stockez les clés au Luxembourg/EEE.
4. Sur vos SaaS majeurs (M365, Salesforce, ServiceNow, etc.), créez des politiques CASB/DLP: partage externe « interdit par défaut », exceptions documentées et horodatées.
5. Préparez la preuve RGPD: matrice données→pays→base juridique (art. 45/46/49), revue mensuelle des événements DLP et trace des décisions.

Sources officielles

• Incident Kodak/attaque ShinyHunters: BleepingComputer. ([bleepingcomputer.com](https://www.bleepingcomputer.com/news/security/kodak-confirms-data-breach-claimed-by-shinyhunters-extortion-gang/))
• RGPD — Article 32 (sécurité): EUR‑Lex. ([eur-lex.europa.eu](https://eur-lex.europa.eu/eli/reg/2016/679/art_32/oj/eng?utm_source=openai))
• RGPD — Chapitre V (transferts internationaux): EUR‑Lex. ([eur-lex.europa.eu](https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=EN&utm_source=openai))
• CNPD Luxembourg — Dossiers « Transferts internationaux »: CNPD. ([cnpd.public.lu](https://cnpd.public.lu/fr/dossiers-thematiques/transferts-internationaux-donnees-personnelles.html?utm_source=openai))
• ISO/IEC 27002:2022 — Contrôle 8.12 DLP: NQA, Open Security Architecture.
• NIST CSF 2.0 — PR.DS (Data Security): NIST Cybersecurity Framework. ([nist.gov](https://www.nist.gov/cyberframework?utm_source=openai))
• CIS Controls v8 — Contrôle 3 « Data Protection »: Center for Internet Security. ([cisecurity.org](https://www.cisecurity.org/controls/data-protection?utm_source=openai))

Note: cet article vise un public européen (Luxembourg/UE). Adaptez les seuils et politiques DLP à vos risques et aux bases juridiques de vos transferts. Pour un accompagnement opérationnel, contactez-nous via la page Luxgap.