Actualité cybersécurité 2026 : NIS2, CRA, ANSSI

8 mai 2026 — Pologne : 5 stations de traitement d'eau compromises, alerte NIS2

L'Agence de securite interieure polonaise (Agencja Bezpieczenstwa Wewnetrznego, ABW) a documente, dans son rapport public relaye par The Record et SecurityWeek les 7 et 8 mai 2026, cinq intrusions dans les systemes industriels (ICS) de stations de traitement d'eau polonaises. Selon l'agence, les attaquants ont obtenu la capacite de modifier les parametres de fonctionnement des equipements, ce qui presente un risque direct pour la salubrite de l'eau distribuee a la population. L'ABW n'attribue pas publiquement les incidents mais souligne une intensification des activites cyber hostiles en 2024 et 2025, 'avec un accent particulier sur les services speciaux de la Federation de Russie'. Sur le plan reglementaire, l'eau potable releve du secteur 'eaux destinees a la consommation humaine' inscrit a l'annexe I de la directive NIS2 comme secteur hautement critique : a ce titre, les exploitants essentiels sont tenus d'adopter des mesures techniques, operationnelles et organisationnelles appropriees et proportionnees au sens de l'article 21, et de notifier sans retard injustifie les incidents significatifs dans les delais prevus a l'article 23 (alerte precoce sous 24 h, notification sous 72 h, rapport final sous un mois). Cette obligation sectorielle NIS2 rejoint l'article 32 du RGPD lorsque les systemes vises hebergent des donnees personnelles d'usagers.

Ce que ca change pour vous : si vous etes exploitant OIV ou regie d'eau, verifiez la segmentation IT/OT, l'integrite des automates et la procedure de notification ANSSI (alerte 24 h / notification 72 h / rapport final 1 mois) au titre de l'article 23 de la directive NIS2. NIS2 : entites essentielles vs entites importantes — Directive NIS2 : guide complet des nouvelles obligations — Conformite NIS2 : checklist des 10 mesures de securite

7 mai 2026 — ANSSI : rapport d'activite 2025 -- lanceurs d'alerte, menaces etatiques, 5G

L'ANSSI a publie son rapport d'activite 2025, repris par next.ink le 6 mai 2026. Le document detaille la mise en oeuvre des dispositifs reglementaires confies a l'agence : reception des signalements de lanceurs d'alerte, mecanisme de detection et de blocage des menaces etatiques sur les reseaux, et encadrement du deploiement des reseaux 5G via la procedure d'autorisation prealable issue de la loi du 1er aout 2019. L'agence revient egalement sur les chiffres cles des incidents traites et sur la preparation operationnelle a la transposition de la directive NIS2 portee par le projet de loi Resilience. Cette publication intervient deux mois apres le Panorama de la cybermenace 2025 (mars 2026), qui faisait etat de 3 586 evenements de securite traites en 2025 et d'une concentration des cibles sur l'education, les ministeres et les collectivites territoriales et la sante. Pour les responsables de traitement, le rapport eclaire les obligations decoulant de l'article 32 du RGPD et de l'article 21 de la directive NIS2 lorsque l'organisation entre dans le perimetre essentiel ou important.

Verifiez si votre entite est concernee par la transposition NIS2 a partir des criteres exposes dans le rapport ANSSI et alignez votre politique de gestion des incidents sur les seuils de notification combines de l'article 23 NIS2 et de l'article 33 du RGPD. Directive NIS2 : guide complet — NIS2 : entites essentielles vs entites importantes — Guide ANSSI pour les TPE/PME : 13 mesures essentielles

6 mai 2026 — Messageries chiffrees : la DPR relance le projet d'acces cible aux contenus

La Delegation parlementaire au renseignement a publie lundi 4 mai 2026, en marge de son rapport annuel, une communication appelant a la creation d'un « acces cible a certains contenus chiffres », rapporte next.ink le 6 mai 2026. Plus d'un an apres le retrait de l'article 8 ter de la proposition de loi Narcotrafic, qui instaurait une porte derobee obligatoire dans les messageries chiffrees, les parlementaires de la DPR estiment toujours que « l'impossibilite d'acceder au contenu des communications chiffrees constitue un obstacle majeur pour l'activite de la justice et des services de renseignement ». Le senateur Cedric Perrin (LR), membre de la delegation, defend en particulier le mecanisme dit du « tiers fantome » qui consisterait a inserer un participant supplementaire dans la conversation avant chiffrement, sans demander la cle. La DPR privilegie une initiative europeenne mais n'exclut pas une demarche nationale. Pour les responsables de traitement et les RSSI, l'enjeu rejoint l'article 5(1)(f) et l'article 32 du RGPD qui imposent un niveau de securite adapte au risque, ainsi que l'article 21 de la directive NIS2 sur les mesures de gestion des risques pour les entites essentielles et importantes. L'introduction d'un tiers d'observation legalement impose modifierait l'analyse de conformite des messageries professionnelles et le contenu des analyses d'impact. Cette annonce intervient alors que le projet de loi Resilience transposant NIS2 contient deja un article 16 bis favorable au chiffrement par les entites concernees.

Ce que ca change pour vous : suivez le calendrier parlementaire et europeen, documentez dans votre registre des activites de traitement les outils de messagerie chiffree utilises, et integrez le risque d'acces tiers dans vos analyses d'impact lorsque ces outils transitent par des correspondances professionnelles. Chiffrement des donnees : obligations RGPD et bonnes pratiques — Securite des donnees personnelles : les obligations de l'article 32 du RGPD — Article 32 RGPD : securite du traitement decryptee

6 mai 2026 — Palo Alto Networks : CVE-2026-0300 deja exploitee, patch d'urgence PAN-OS

Palo Alto Networks doit publier un correctif d'urgence pour la vulnerabilite CVE-2026-0300, rapportee le 6 mai 2026 par SecurityWeek. La faille touche le service Captive Portal de PAN-OS sur les pare-feux des series PA et VM, deux familles tres deployees en perimetre d'entreprise et sur les acces distants. L'editeur indique que la vulnerabilite est deja exploitee dans la nature, ce qui place le bulletin dans la categorie des incidents requerant un patch immediat. Pour les responsables de traitement, l'evenement engage simultanement plusieurs cadres : l'article 32 du RGPD qui exige un niveau de securite adapte au risque, l'article 21 de la directive NIS2 qui rend obligatoire la gestion des vulnerabilites pour les entites essentielles et importantes, et l'obligation de notification de violation prevue a l'article 33 du RGPD si une compromission a permis l'acces a des donnees personnelles. Dans la pratique, un firewall perimetrique compromis ouvre la voie a un deplacement lateral et a l'exposition de comptes VPN ; le portail captif est par ailleurs souvent expose en frontal, ce qui maximise la surface d'attaque.

Ce que ca change pour vous : appliquez le correctif PAN-OS des sa publication, verifiez que le service Captive Portal n'est pas inutilement expose, et cherchez dans vos journaux les indicateurs de compromission communiques par Palo Alto ; en cas d'acces non autorise, declenchez la procedure de notification de violation de l'article 33 du RGPD. Article 32 RGPD : securite du traitement decryptee — Conformite NIS2 : checklist des 10 mesures de securite obligatoires — RGPD et securite : les mesures techniques et organisationnelles exigees par la CNIL

5 mai 2026 — Loi Resilience : article 16 bis sur le chiffrement inquiete le renseignement

Selon ZDNet du 5 mai 2026, les services de renseignement francais expriment leur inquietude face au projet de loi Resilience, qui assure la transposition de la directive NIS2 en droit interne. Les parlementaires opposes au texte ciblent en particulier l'article 16 bis, introduit en cours de navette, qui sanctuariserait le recours au chiffrement par les entites essentielles et importantes au sens de NIS2. Les services de renseignement estiment que cette disposition irait au-dela des obligations de cybersecurite imposees par l'article 21 de NIS2 et limiterait les capacites d'interception legale prevues par le code de la securite interieure. Operationnellement, l'adoption de l'article 16 bis renforcerait la position des RSSI vis-a-vis des demandes d'acces non chiffre et alignerait la pratique francaise sur les recommandations recurrentes de l'ANSSI et de l'ENISA. Le calendrier parlementaire reste incertain, mais le vote est attendu avant l'echeance d'octobre 2026 fixee par la directive pour la pleine application en France.

Surveillez l'avancement parlementaire du projet de loi Resilience : les obligations de chiffrement appliquees a vos systemes critiques pourraient se durcir avant la fin 2026. Directive NIS2 : guide complet — Chiffrement des donnees : obligations RGPD

4 mai 2026 — Cyber Etat : 5 % du budget numerique en 2027, fonds alimente par la CNIL

Apres l'annonce du 30 avril 2026 sur le deblocage de 200 millions d'euros pour la cybersecurite de l'Etat, Sebastien Lecornu a precise le perimetre de son plan lors de sa visite a l'ANTS, repris par Silicon.fr et INCYBER les 3 et 4 mai. Trois mesures structurantes se degagent. Premierement, chaque ministere devra consacrer 5 % de son budget numerique a la cybersecurite d'ici 2027, contre 1 a 5 % aujourd'hui selon la ministre deleguee Anne Le Henanff, qui rappelle que le minimum soutenable est plutot de 10 %. Deuxiemement, un fonds de modernisation des infrastructures de l'Etat sera alimente par l'ensemble des amendes prononcees par la CNIL (environ 500 millions d'euros en 2025) ; la reforme sera portee dans le projet de loi de finances. Troisiemement, les 200 millions immediats financeront les audits flash dans chaque ministere, les outils de detection, l'IA appliquee a la decouverte de vulnerabilites et la cryptographie post-quantique. Le Premier ministre confirme egalement la creation d'une autorite numerique de l'Etat issue de la fusion DINUM / DITP, rattachee a Matignon, chargee d'imposer des regles de securite a tous les ministeres. Cette evolution prefigure une montee en exigence des mesures techniques et organisationnelles attendues au titre de l'article 32 du RGPD pour les administrations et rejoint les obligations NIS2 sur la gouvernance et la supervision de la securite.

Ce que ca change pour vous : si vous etes sous-traitant ou prestataire de l'Etat, attendez-vous a un durcissement contractuel des clauses de securite alignees sur l'article 32 du RGPD et l'article 21 de la directive NIS2 ; documentez des maintenant votre feuille de route de migration post-quantique. NIS2 et collectivites : obligations des mairies et EPCI — Sanctions CNIL 2026 : analyse et enseignements — RGPD et securite : les mesures techniques et organisationnelles exigees par la CNIL

3 mai 2026 — Five Eyes : guide commun sur le deploiement securise des agents IA

La CISA, la NSA, le NCSC-UK, l'ASD ACSC australien, le Centre canadien pour la cybersecurite et le NCSC neo-zelandais ont publie le 1er mai 2026 un guide commun intitule « Careful Adoption of Agentic AI Services », consacre au deploiement securise des agents IA en entreprise et dans les infrastructures critiques. Le document identifie cinq grandes familles de risques : risques de privileges, risques de conception et de configuration, risques comportementaux (desalignement d'objectifs, comportements trompeurs), risques structurels lies aux dependances entre composants, et risques de redevabilite et d'auditabilite. Les agences designent l'injection d'instruction (« prompt injection ») comme la menace la plus persistante, les modeles de langage ne pouvant pas distinguer de facon fiable une instruction legitime d'une donnee malveillante embarquee dans un document, un email ou une page web. Les recommandations operationnelles sont : deploiement incremental, supervision humaine effective, controles de chaine d'approvisionnement, et obligation organisationnelle qu'aucun agent ne soit deploye sans evaluation de risques cartographiant les outils accessibles, la sensibilite des donnees et le perimetre d'impact en cas de compromission. Ces exigences rejoignent l'article 32 du RGPD pour les systemes traitant des donnees personnelles et l'article 9 de l'AI Act sur la gestion des risques des systemes IA a haut risque.

Ce que ca change pour vous : avant de generaliser un agent IA en production, formalisez une analyse de risques cartographiant ses outils, ses canaux d'entree et ses privileges, et integrez les scenarios d'injection d'instruction a votre AIPD au titre de l'article 35 du RGPD. AIPD pour l'IA : quand et comment realiser une analyse d'impact — IA et RGPD : les regles applicables au traitement par intelligence artificielle — EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle

3 mai 2026 — cPanel : CVE-2026-41940 ajoutee au KEV, patch federal au 21 mai

La CISA a ajoute le 30 avril 2026 la vulnerabilite CVE-2026-41940 a son catalogue Known Exploited Vulnerabilities, confirmant une exploitation active par des attaquants. Cette faille critique de contournement d'authentification touche toutes les versions de cPanel et WHM posterieures a la 11.40, ainsi que la solution WP Squared, soit environ 1,5 million d'instances exposees sur Internet selon Rapid7. L'exploitation, observee en realite des le 23 fevrier 2026 selon Help Net Security, donne a l'attaquant le controle complet du systeme hote, des configurations, des bases de donnees et des sites heberges. Bleeping Computer rapporte une vague d'attaques par le ransomware « Sorry », avec demandes de rancon documentees autour de 7 000 USD. Les agences federales americaines doivent appliquer le correctif au plus tard le 21 mai 2026 au titre de la directive BOD 22-01. Pour les responsables de traitement, l'inscription au KEV declenche le compteur de l'article 32 du RGPD : un correctif disponible non applique apres signalement public d'exploitation est une defaillance documentee, susceptible de qualifier toute violation ulterieure au sens de l'article 33 du RGPD.

Ce que ca change pour vous : si votre site ou celui d'un sous-traitant tourne sur cPanel ou WHM, mettez a jour immediatement vers une version corrigee, verifiez l'absence d'IOC du ransomware Sorry et tracez la decision dans votre registre des mesures de securite. Securite des donnees personnelles : les obligations de l'article 32 du RGPD — Article 33 RGPD : notifier une violation a la CNIL — Signalement des vulnerabilites : les obligations du Cyber Resilience Act

2 mai 2026 — NCSC : l'IA accelere la decouverte de failles, preparez la vague de patches

Le NCSC, agence britannique de cybersecurite, a publie le 1er mai 2026 une note d'orientation alertant les organisations sur l'augmentation prochaine du volume de mises a jour de securite urgentes. Selon l'agence, la combinaison d'outils d'IA generative et de moteurs de fuzzing permet desormais aux chercheurs comme aux attaquants de decouvrir, a un rythme inedit, des vulnerabilites enfouies depuis des annees dans du code legacy. Le NCSC anticipe une vague de patches a deployer en parallele sur des piles logicielles tres diverses, avec un risque accru d'exploitation entre la divulgation et l'application du correctif. La recommandation centrale : industrialiser le processus de gestion des vulnerabilites, pre-autoriser les fenetres de patch et tracer le delai entre publication et deploiement. Cette orientation cybersecurite recoupe les obligations de l'article 32 du RGPD (securite appropriee au risque) et de l'article 21 de NIS2 (gestion des risques et de la chaine logicielle) : un responsable de traitement qui differe l'application d'un correctif critique sans justification documentee s'expose, en cas d'incident, a la double qualification d'un manquement a la securite RGPD et d'un defaut de gestion des risques NIS2.

Ce que ca change pour vous : revisitez votre politique de gestion des correctifs, fixez des SLA internes pour les vulnerabilites critiques, et assurez-vous que la decision de patcher (ou de ne pas patcher) est tracee dans votre registre des mesures de securite. Article 32 RGPD : securite du traitement decryptee — Audit de securite informatique : methodologie et outils — Gestion des incidents de securite : plan de reponse et procedure

2 mai 2026 — ANTS : un mineur de 15 ans interpelle, l'Etat debloque 200 M EUR

Les autorites francaises ont annonce le 1er mai 2026 l'interpellation d'un adolescent de 15 ans soupconne d'avoir vole et revendu sur des forums clandestins les donnees personnelles de millions d'usagers issues d'une base de l'ANTS (Agence nationale des titres securises), qui delivre les permis de conduire et les cartes d'identite. La fuite, detectee par l'agence en avril, a ete suivie d'une notification publique et d'un depot de plainte au parquet. En reponse, le gouvernement a annonce le deblocage d'une enveloppe de 200 millions d'euros sur cinq ans pour renforcer la cybersecurite des grands services numeriques de l'Etat, dont l'ANTS, FranceConnect et les portails fiscaux. L'incident rappelle aux responsables de traitement publics les obligations cumulees des articles 32 et 33 du RGPD (securite et notification a la CNIL dans les 72 heures) et, pour les administrations entrant dans le champ d'application, de l'article 21 de NIS2 sur la gestion des risques cyber et la chaine d'approvisionnement logicielle. Pour les personnes concernees, une plainte au procureur sur le fondement de l'article 226-17 du Code penal reste ouverte des lors que la securite des donnees a ete defaillante.

Ce que ca change pour vous : si vos traitements s'interfacent avec FranceConnect ou des bases d'identite publiques, integrez ce risque dans votre AIPD et verifiez vos clauses sous-traitants article 28 RGPD couvrant la chaine d'authentification. Fuite de donnees : procedure de gestion et notification RGPD — Notification violation donnees CNIL : procedure 72h — Fuites de donnees de l'Etat : modele gratuit de plainte au procureur

2 mai 2026 — Okta : les agents IA exfiltrent des identifiants quand leur canal est detourne

Le rapport « Phishing the agent: Why AI guardrails aren't enough », publie par Okta Threat Intelligence et relaye le 1er mai 2026 par CSO Online, documente plusieurs scenarios dans lesquels des agents IA deployes en entreprise ont divulgue des donnees sensibles, contourne leurs propres garde-fous ou transmis des identifiants a un attaquant via un canal de messagerie tiers. Dans l'un des tests, un assistant IA agentique configure pour piloter le poste de travail d'un utilisateur a accepte, apres detournement du compte de messagerie servant de canal de commande, de retrouver et d'afficher un jeton OAuth. Le rapport souligne que les garde-fous evalues en mode chatbot isole ne tiennent plus une fois que l'agent dispose d'acces aux fichiers, navigateurs, comptes et credentials de l'utilisateur. Cette typologie de risque rejoint les obligations de l'article 32 du RGPD et l'article 9 de l'AI Act sur la gestion des risques pour les systemes a haut risque : un agent intelligent qui mediatise l'acces a des donnees personnelles doit faire l'objet d'une analyse specifique de surface d'attaque et d'une journalisation effective des actions sensibles, sous peine de transferer un risque non maitrise au responsable de traitement.

Ce que ca change pour vous : avant de deployer un agent IA enterprise, cartographiez ses canaux de commande, appliquez le principe du moindre privilege a ses credentials, et integrez les scenarios de detournement de canal a votre AIPD au titre de l'article 35 du RGPD. AIPD pour l'IA : quand et comment realiser une analyse d'impact — IA et RGPD : les regles applicables au traitement par intelligence artificielle — EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle

2 mai 2026 — Windows : CVE-2026-32202 deja exploitee, CISA impose le patch au 12 mai

Microsoft et la CISA ont alerte le 1er mai 2026 sur une vulnerabilite de spoofing du shell Windows, tracee CVE-2026-32202, deja activement exploitee par des attaquants. La CISA a impose a l'ensemble des agences federales americaines d'appliquer le correctif au plus tard le 12 mai 2026, conformement a la directive Binding Operational Directive 22-01 qui impose le traitement prioritaire des vulnerabilites figurant au catalogue KEV (Known Exploited Vulnerabilities). L'exploitation permet l'acces a des donnees sensibles sans permettre, a ce stade, une prise de controle complete du systeme. La faille decoule d'un patch incomplet de la CVE-2026-21510 : Microsoft avait corrige la vulnerabilite principale sans neutraliser une variante qui ressurgit aujourd'hui, allongeant la fenetre d'exposition pour les organisations qui n'avaient pas encore deploye la mise a jour precedente. Pour les responsables de traitement, cette situation rappelle l'obligation de mettre en oeuvre un processus de veille et de gestion des vulnerabilites au titre de l'article 32 du RGPD : un correctif disponible et non applique apres signalement public d'une exploitation active constitue une defaillance documentee de la securite du traitement, avec un risque accru de qualification d'une violation au sens de l'article 33 en cas d'incident.

Ce que ca change pour vous : si vos postes ou serveurs Windows hebergent ou accedent a des donnees personnelles, verifiez le statut de deploiement du correctif Microsoft couvrant CVE-2026-32202 et CVE-2026-21510, et tracez la decision dans votre registre des mesures de securite. Gestion des vulnerabilites : construire un processus conforme au CRA — Article 32 RGPD : securite du traitement decryptee — RGPD et securite : les mesures techniques et organisationnelles exigees par la CNIL

1 mai 2026 — BlackCat : 4 ans de prison pour deux negociateurs ransomware infiltres

Un tribunal federal americain a condamne le 30 avril 2026 Ryan Goldberg (Sygnia) et Kevin Martin (DigitalMint) a quatre ans de prison chacun, pour avoir rejoint en 2023 le programme d'affiliation du gang ransomware BlackCat (alias ALPHV) tout en exercant comme negociateurs de rancons aupres d'entreprises victimes. Les deux hommes ont participe a au moins cinq attaques contre des societes americaines et negocie depuis l'interieur les rancons qu'ils contribuaient a extorquer. L'affaire interroge directement la chaine de confiance qui sous-tend le marche europeen de la reponse a incident : les contrats avec les prestataires DFIR (digital forensics & incident response) integrent rarement des clauses explicites de controle d'integrite et de tracabilite individuelle, alors meme que ces intervenants ont acces aux donnees personnelles les plus sensibles d'une violation. Pour les responsables de traitement, la decision rappelle la necessite d'un encadrement contractuel rigoureux des sous-traitants intervenant en gestion de crise, au sens de l'article 28 du RGPD, et d'une journalisation effective des acces exterieurs lors d'un incident.

Ce que ca change pour vous : auditez les clauses « sous-traitance » de vos contrats DFIR et de gestion de crise (engagement de moyens, cessation, journalisation, background check du personnel) avant la prochaine intervention en environnement de production. Fuite de donnees : procedure de gestion et notification RGPD — Notification violation donnees CNIL : procedure 72h — Article 33 RGPD : notifier une violation a la CNIL

1 mai 2026 — ANSSI : le chiffrement ne protege pas du Cloud Act, alerte Vincent Strubel

Auditionne le 30 avril 2026 par la commission d'enquete sur les dependances numeriques de la France, le directeur general de l'ANSSI Vincent Strubel a sonne l'alarme sur le risque d'une coupure d'acces aux technologies americaines : « si demain, pendant six mois, nous sommes prives de l'acces aux technologies americaines, des mises a jour, nous aurons un enorme probleme », situation qu'il qualifie d'« intenable ». Sur la portee du chiffrement face aux lois extraterritoriales, M. Strubel rappelle qu'un fournisseur cloud accede « tot ou tard » aux cles de chiffrement de ses clients : le chiffrement seul ne fait donc pas obstacle au CLOUD Act ni au FISA. La seule protection juridique tient a une architecture ou un operateur europeen conserve le controle exclusif des donnees, conformement aux exigences SecNumCloud. Pour les responsables de traitement, ce constat eclaire les obligations de l'article 32 du RGPD et les conditions de l'article 28 sur les sous-traitants : invoquer le chiffrement au repos comme garantie suffisante face a un transfert vers un sous-traitant soumis au droit americain n'est pas defendable.

Ce que ca change pour vous : revoyez la cartographie de vos sous-traitants cloud, identifiez ceux qui restent soumis aux lois extraterritoriales US et completez vos analyses d'impact pour documenter les garanties supplementaires (cles client, hebergement souverain, qualification SecNumCloud) au-dela du seul chiffrement. Article 32 RGPD : securite du traitement decryptee — Chiffrement des donnees : obligations RGPD et bonnes pratiques — Sous-traitance securite : exigences NIS2 et RGPD pour la chaine d'approvisionnement

30 avril 2026 — Linux : faille noyau « Copy Fail » CVE-2026-31431, root accessible

Une vulnerabilite critique du noyau Linux, baptisee « Copy Fail » et reperee par l'editeur Xint.io, permet a un utilisateur local non privilegie d'obtenir les droits root sur la quasi-totalite des distributions. Reference CVE-2026-31431, score CVSS 7,8/10, la faille reside dans le module cryptographique authencesn et est presente dans le code depuis 2017, soit huit annees d'exposition non detectee. Le mecanisme permet d'ecrire quatre octets controles dans le page cache de n'importe quel fichier accessible en lecture, puis de pivoter jusqu'au shell root. Le vecteur est local (AV:L) : un compte utilisateur valide suffit, sans dependance reseau ni interaction. Les principales distributions deploient deja les correctifs. Pour les responsables de traitement, le risque touche directement l'integrite et la confidentialite des donnees stockees sur les serveurs Linux : la vulnerabilite engage donc l'obligation de mesures techniques appropriees de l'article 32 du RGPD, et, pour les entites essentielles ou importantes au titre de NIS2, l'obligation de gestion des vulnerabilites prevue a l'article 21 NIS2.

Ce que ca change pour vous : recensez les serveurs et postes Linux multi-utilisateurs, deployez le patch noyau diffuse par votre distribution, et tracez l'application du correctif dans votre journal de gestion des vulnerabilites. Securite des donnees personnelles : obligations de l'article 32 RGPD — Article 32 RGPD : securite du traitement decryptee — Conformite NIS2 : checklist des 10 mesures de securite obligatoires

30 avril 2026 — GitHub : RCE critique CVE-2026-3854, 88 % des Enterprise non patches

GitHub a corrige, en quelques heures apres signalement par les chercheurs de Wiz, une vulnerabilite d'execution de code a distance (RCE) reperee dans la chaine de traitement serveur des operations git push. Reference CVE-2026-3854, la faille permettait a un utilisateur authentifie d'injecter une entree malveillante traitee par un composant interne (X-STAT) puis incorporee a l'execution de commandes serveur. Le correctif est deja deploye sur GitHub.com et diffuse pour toutes les versions supportees de GitHub Enterprise Server, mais Wiz indique qu'au moment de la divulgation publique, 88 % des instances Enterprise exposees sur Internet n'avaient pas encore applique la mise a jour. Pour les entreprises europeennes, le risque porte sur l'integrite et la confidentialite du code source, des secrets et des donnees stockees dans les depots prives, avec impact direct sur l'article 32 du RGPD (securite des traitements) et sur les obligations de gestion de la chaine d'approvisionnement logicielle prevues par NIS2 (article 21).

Ce que ca change pour vous : si vous exploitez GitHub Enterprise Server, appliquez sans delai la mise a jour de securite, faites tourner les secrets et tokens stockes dans les depots et auditez les journaux pour detecter d'eventuels appels git push suspects. Securite des donnees personnelles : obligations de l'article 32 RGPD — Sous-traitance securite : exigences NIS2 et RGPD — Audit de securite informatique : methodologie et outils

30 avril 2026 — Windows : CISA alerte sur un zero-day expose en exploitation active

Microsoft et la Cybersecurity and Infrastructure Security Agency (CISA) americaine ont lance, le 29 avril 2026, une alerte sur l'exploitation active d'une faille zero-clic de Windows susceptible d'exposer des informations sensibles sur les systemes vulnerables. Cette nouvelle alerte intervient apres que le correctif diffuse pour une precedente vulnerabilite exploitee par des operateurs lies au renseignement russe s'est revele incomplet : un nouveau vecteur permet de contourner la mise a jour initiale sans interaction de l'utilisateur. L'editeur a publie une mise a jour complementaire et invite tous les exploitants a appliquer immediatement les correctifs, tandis que la CISA a inscrit la vulnerabilite a son catalogue Known Exploited Vulnerabilities. Pour les DPO et RSSI europeens, l'incident rappelle l'obligation de mettre en oeuvre des mesures techniques appropriees au sens de l'article 32 du RGPD, et, pour les entites essentielles ou importantes au titre de la directive NIS2, l'obligation de gerer les vulnerabilites comme element de l'analyse des risques (article 21 NIS2).

Ce que ca change pour vous : verifiez que la derniere version cumulative Windows est deployee sur l'ensemble de votre parc, documentez la fenetre d'exposition dans votre registre des risques et tracez la mise a jour dans le journal de gestion des vulnerabilites. Securite des donnees personnelles : obligations de l'article 32 RGPD — RGPD et securite : mesures techniques exigees par la CNIL — Sous-traitance securite : exigences NIS2 et RGPD

28 avril 2026 — Décret SREN : cloud durci pour les données sensibles publiques

Le décret d'application de l'article 31 de la loi SREN (sécuriser et réguler l'espace numérique) précise les conditions d'hébergement des données sensibles dans le cloud pour les administrations, établissements de santé et opérateurs publics. Le texte exclut explicitement les environnements exposés à des lois extra-territoriales et impose un niveau de qualification élevé, dans la lignée de SecNumCloud. Sur le plan opérationnel, les responsables de traitement publics concernés doivent revisiter leurs cartographies de données sensibles, leurs contrats de sous-traitance et leurs analyses de transfert pour s'assurer que les hébergeurs retenus répondent aux nouveaux critères. Cette obligation de souveraineté rejoint l'exigence de sécurité appropriée de l'article 32 du RGPD.

Ce que ça change pour vous : recenser les traitements de données sensibles hébergés chez un fournisseur soumis à une loi extra-territoriale et planifier la migration vers une offre conforme aux nouveaux critères. SecNumCloud : la qualification ANSSI du cloud de confiance — Les données sensibles RGPD : définition, exemples et règles — Sécurité du cloud : modèle de responsabilité partagée

28 avril 2026 — Locked Shields 2026 : la France 4e à l'exercice cyber de l'OTAN

L'ANSSI annonce que l'équipe France a terminé 4e sur 17 nations à Locked Shields 2026, le plus grand exercice de cyberdéfense au monde organisé par le Centre d'excellence de cyberdéfense coopérative de l'OTAN (CCDCOE) du 13 au 24 avril 2026. Plus de 4 000 participants ont simulé la défense d'un pays fictif soumis à une attaque massive sur ses infrastructures critiques. L'édition 2026 a mis l'accent sur la coordination civile-militaire, la gestion de crise multi-secteurs et la communication stratégique. Pour les opérateurs visés par NIS2 et les entités essentielles, le retour d'expérience nourrit les schémas de gestion de crise cyber et les attendus en matière d'exercices internes.

Ce que ça change pour vous : intégrer les enseignements Locked Shields dans votre exercice annuel de gestion de crise cyber, exigence opérationnelle attendue par l'article 21 NIS2. Exercice de crise cyber : méthode de préparation et de conduite

27 avril 2026 — Mythosready : 250 RSSI publient un plan face aux vulnérabilités IA

Le SANS Institute et la Cloud Security Alliance (CSA) ont publié, le 12 avril 2026, un rapport intitulé « La tempête de vulnérabilités liées à l'IA : créer un programme de sécurité Mythosready », rédigé en un week-end par plus de 60 contributeurs et relu par plus de 250 responsables de la sécurité des systèmes d'information (RSSI / CISO). Next.ink en livre une synthèse le 27 avril 2026 dans le troisième volet de sa série consacrée aux IA agentiques. Le document a été publié dans la foulée de l'annonce, le 7 avril 2026, de Mythos Preview, l'IA spécialisée en cybersécurité d'Anthropic, accessible à une cinquantaine d'entreprises et organismes du projet Glasswing : Anthropic devra communiquer dans 90 jours les résultats des vulnérabilités identifiées. Parmi les signataires figurent Jen Easterly, ex-directrice de la CISA américaine, Chris Inglis, premier National Cyber Director des États-Unis et ancien numéro 2 de la NSA, Rob Joyce, ex-patron de l'unité Tailored Access Operations (TAO) puis directeur de la cybersécurité de la NSA. Le rapport propose un cadre opérationnel structuré en mesures immédiates, priorités à court terme et changements à long terme pour des organisations « qui doivent se présenter lundi matin avec un plan crédible ». Pour les entreprises soumises à l'article 32 du RGPD ou à l'article 21 de la directive NIS2, cette doctrine fournit une grille de lecture utile pour la gestion des vulnérabilités, la priorisation des correctifs et la coordination avec les fournisseurs de logiciels au regard du règlement IA européen.

Ce que ça change pour vous : intégrez dès maintenant la doctrine Mythosready à votre programme de gestion des vulnérabilités, en rapprochant la cadence patch / SBOM / test d'intrusion de la fenêtre des 90 jours annoncée par Anthropic, et confrontez votre dispositif à l'article 32 du RGPD et à l'article 21 NIS2. Sécurité des données personnelles : les obligations de l'article 32 du RGPD — Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — EU AI Act : guide complet du règlement européen sur l'intelligence artificielle

27 avril 2026 — Allemagne : enquête fédérale sur le phishing Signal visant la classe politique

Le parquet fédéral allemand (Generalbundesanwalt) a annoncé, le 24 avril 2026, qu'il menait depuis février 2026 une enquête pour « suspicion d'espionnage » à la suite d'une campagne de hameçonnage visant les utilisateurs de Signal en Allemagne. Selon une porte-parole du ministère fédéral de l'Intérieur citée par INCYBER News le 27 avril 2026, la campagne — « probablement menée par un acteur étatique » — vise « des responsables politiques, l'armée, la diplomatie ainsi que des journalistes d'investigation » et se poursuit. Les déclarations font suite aux révélations de l'hebdomadaire Der Spiegel du 22 avril 2026 sur une attaque par hameçonnage visant la présidente du Bundestag, Julia Klöckner. Konstantin von Notz, élu Vert au Bundestag, a publiquement averti que « personne ne peut assurer que l'intégrité des communications des députés est encore garantie » ; le président de la commission de contrôle parlementaire, Marc Henrichmann, a explicitement attribué la campagne à Moscou, sans accusation officielle du gouvernement allemand. Pour les responsables de traitement et les entités essentielles ou importantes au sens de la directive NIS2, ce dossier illustre que le chiffrement de bout en bout d'une messagerie n'exonère pas des mesures techniques et organisationnelles obligatoires sur les terminaux et l'authentification (article 32 du RGPD), ni des obligations de gestion de la sécurité prévues à l'article 21 de la directive NIS2.

Ce que ça change pour vous : vérifiez que vos collaborateurs exposés (dirigeants, juridique, R&D) disposent d'une procédure documentée d'enrôlement Signal (vérification de l'empreinte de sécurité, durcissement MFA, sensibilisation au phishing ciblé) et inscrivez explicitement les messageries à chiffrement de bout en bout dans votre cartographie d'authentification au titre de l'article 21 NIS2. Sécurité des données personnelles : les obligations de l'article 32 du RGPD — Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL

27 avril 2026 — BSI publie C3A : critères allemands de souveraineté pour les services cloud

Le 27 avril 2026, le Bundesamt fur Sicherheit in der Informationstechnik (BSI), agence federale allemande de cybersecurite, a publie le referentiel C3A — Criteria enabling Cloud Computing Autonomy. Ce cadre definit, pour la premiere fois en Allemagne, un ensemble structure d'attributs permettant d'evaluer et de rendre transparente la souverainete d'une offre de cloud computing : maitrise des donnees et de leur localisation, controle effectif des operations et de l'administration technique, auditabilite du code et de la chaine d'approvisionnement logicielle, et independance juridique vis-a-vis d'extraterritorialites etrangeres. Le BSI presente C3A comme un Handlungsrahmen — un cadre d'action — destine aussi bien aux acheteurs publics qu'aux entreprises privees soumises a des obligations sectorielles, et complementaire des certifications de securite existantes. Pour les responsables de traitement etablis en France, C3A se positionne comme un equivalent fonctionnel germanique de la doctrine ANSSI sur le cloud de confiance et de la qualification SecNumCloud, avec une grille de lecture utile lorsque la documentation contractuelle d'un sous-traitant cloud (article 28 du RGPD) doit etre auditee au regard du risque de transfert hors UE et des obligations de chaine d'approvisionnement portees par NIS2.

Ce que ca change pour vous : si votre cartographie cloud comporte des fournisseurs hyperscalers ou des filiales europeennes d'acteurs extra-UE, ajoutez la grille C3A a votre dossier de qualification sous-traitant et confrontez-la aux clauses contractuelles types et a la doctrine SecNumCloud avant tout renouvellement. RGPD et cloud : obligations AWS, Azure, GCP — Transfert données hors UE : mécanismes RGPD — SecNumCloud : la qualification ANSSI du cloud de confiance

26 avril 2026 — FIRESTARTER : alerte CISA/NCSC sur un backdoor persistant des pare-feux Cisco

Le 23 avril 2026, la Cybersecurity and Infrastructure Security Agency (CISA) americaine et le National Cyber Security Centre britannique (NCSC-UK) ont publie un rapport conjoint d'analyse de malware (AR26-113A) sur FIRESTARTER, une porte derobee Linux ELF deployee sur des appareils Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) et Secure Firewall, par exploitation des vulnerabilites CVE-2025-20333 et CVE-2025-20362. La particularite de FIRESTARTER tient a son mecanisme de persistance : le malware se relance automatiquement lorsqu'il detecte un signal de terminaison et reside en memoire, ce qui lui permet de survivre aux mises a jour de firmware, aux redemarrages logiciels et a l'application des correctifs. Seul un redemarrage physique par debranchement complet de l'appareil supprime le module residuel. Cisco recommande un reimagement complet des appareils concernes, et la CISA a actualise le 24 avril sa directive d'urgence ED 25-03 imposant aux agences federales americaines la verification immediate de leur parc Cisco. Au moins une agence federale a deja ete compromise via cette chaine d'attaque, l'acces ayant persiste jusqu'en mars 2026. Pour les responsables de traitement et entites essentielles ou importantes au sens de la directive NIS2, cette alerte rejoint l'article 21 NIS2 (mesures de gestion des risques) et l'article 32 du RGPD : les appareils perimetriques compromis peuvent permettre l'acces a des donnees personnelles transitant par les reseaux internes, ce qui qualifie potentiellement l'incident comme une violation au sens de l'article 33 du RGPD.

Ce que ca change pour vous : verifiez sans delai votre parc Cisco ASA / Firepower / Secure Firewall, programmez un reimagement des appareils potentiellement compromis et documentez l'incident dans votre registre de violations en cas d'exposition de donnees personnelles. Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Conformité NIS2 : checklist des 10 mesures de sécurité obligatoires — Sécurité des données personnelles : les obligations de l'article 32 du RGPD

22 avril 2026 — Google TIG : campagne UNC6692, imposture helpdesk via Microsoft Teams

Le Google Threat Intelligence Group (GTIG) et Mandiant ont publie le 22 avril 2026 une analyse detaillee d'une campagne attribuee a un nouveau cluster d'activite, UNC6692, qui exploite Microsoft Teams pour infiltrer les organisations. Le mode operatoire combine bombardement de spam initial pour creer un sentiment d'urgence, puis prise de contact via Teams par un attaquant se faisant passer pour un agent du helpdesk IT (depuis un compte exterieur a l'organisation), proposant un correctif a installer. Le clic sur le lien telecharge un script AutoHotkey depuis un bucket S3 controle par l'attaquant, qui installe ensuite SNOWBELT, une extension Chromium malveillante, et orchestre l'ecosysteme SNOW (trois composants modulaires) pour assurer la persistance via une tache planifiee, un raccourci au demarrage Windows et un processus Edge en mode headless. La campagne illustre la migration des attaques d'ingenierie sociale du courriel vers les plateformes de collaboration : pour les entites essentielles et importantes au sens de la directive NIS2, ce vecteur impose de durcir la configuration Teams (blocage des invitations externes par defaut, journalisation des messages entrants, sensibilisation continue des utilisateurs) au titre des mesures techniques et organisationnelles exigees a l'article 21 NIS2 et a l'article 32 du RGPD.

Ce que ca change pour vous : restreignez immediatement les invitations Teams en provenance d'utilisateurs externes, alertez vos equipes sur le scenario "helpdesk" via chat, et tracez tout deploiement de scripts ou d'extensions de navigateur depuis des liens recus en messagerie. Microsoft Teams et RGPD : guide de conformite 2026 — RGPD et securite : mesures techniques et organisationnelles exigees par la CNIL — Conformite NIS2 : checklist des 10 mesures de securite obligatoires

25 avril 2026 — CERT-FR : alerte sur les agents IA sur poste de travail

Le CERT-FR, dependant de l'ANSSI, a publie le bulletin d'actualite CERTFR-2026-ACT-016 consacre aux vulnerabilites et risques des produits d'automatisation par IA agentique sur les postes de travail. Le rapport vise explicitement OpenClaw, Claude Cowork et plus largement les assistants autonomes capables d'executer des commandes, de piloter le navigateur, de lire et d'ecrire des fichiers, de gerer la messagerie ou l'agenda a partir d'instructions textuelles recues via Slack, WhatsApp, Discord ou tout canal connecte. Le CERT-FR considere que ces solutions ne doivent pas etre deployees en environnement de production en l'etat : un agent qui orchestre des outils capables d'agir au niveau du systeme d'exploitation augmente significativement le risque de compromission, notamment via l'injection de prompts ou le detournement de messages, avec exfiltration de donnees a la cle. L'agence recommande de cantonner ces assistants a des environnements de test isoles, sans donnees sensibles, de limiter strictement les outils et canaux accessibles, d'imposer une invocation explicite (mentions @) et de soumettre toute commande systeme a une validation humaine. Pour les responsables de traitement, cette mise en garde rejoint les exigences de securite de l'article 32 du RGPD : tout deploiement non encadre d'un agent IA susceptible d'acceder a des donnees personnelles expose a un risque qualifie de violation au sens de l'article 33 du RGPD.

Ce que ca change pour vous : avant tout deploiement d'un assistant IA agentique sur les postes de votre organisation, documentez une AIPD, restreignez les outils accessibles et interdisez explicitement les usages sur donnees clients tant qu'une revue de securite n'a pas ete conduite. Sécurité des données personnelles : les obligations de l'article 32 du RGPD — AIPD pour l'IA : quand et comment réaliser une analyse d'impact — IA et RGPD : les règles applicables au traitement par intelligence artificielle

24 avril 2026 — ANSSI : Panorama cybermenace 2025, IA offensive et sous-traitance ciblees

L'Agence nationale de la securite des systemes d'information (ANSSI) a publie son Panorama de la cybermenace 2025, relaye le 24 avril 2026 par le cabinet Lexing. L'Agence indique avoir traite 3 586 evenements de securite sur l'annee, en baisse de 18 % par rapport a 2024, dont 2 209 signalements et 1 366 incidents. Le nombre de compromissions par rancongiciel portees a sa connaissance s'etablit a 128. L'ANSSI observe une diversification des strategies d'extorsion, avec recours accru a l'exfiltration de donnees sans chiffrement systematique, ce qui place mecaniquement une part plus large de ces incidents dans le champ des violations de donnees personnelles au sens de l'article 33 du RGPD. Les etablissements de sante restent tres cibles (8 % des attaques rancongiciel), et le secteur education-recherche concentre 34 % des incidents traites. L'Agence pointe aussi la montee en puissance de l'ingenierie sociale (SIM swapping, bombardement de demandes MFA, technique Clickfix), l'usage croissant de l'IA generative a des fins offensives, ainsi que la persistance du ciblage des sous-traitants comme vecteur d'acces. Le rapport rappelle que le Cyber Resilience Act imposera des le 11 septembre 2026 aux fabricants de produits numeriques commercialises dans l'UE de signaler toute vulnerabilite activement exploitee, et que de nouvelles obligations s'ajouteront au 11 decembre 2027. Ces signalements recoupent les obligations de gestion des vulnerabilites de l'article 21 de la directive NIS2 et les exigences de securite de l'article 32 du RGPD.

Ce que ca change pour vous : rejouez votre cartographie rancongiciel + sous-traitants a la lumiere du Panorama, verifiez vos procedures de signalement NIS2/CRA et mettez a jour votre procedure de notification des violations RGPD. Actualité cybersécurité 2026 : NIS2, CRA, ANSSI — Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Sous-traitance sécurité : exigences NIS2 et RGPD pour la chaîne d'approvisionnement

24 avril 2026 — CNIL : recommandation vote électronique mise à jour après consultation

La Commission nationale de l'informatique et des libertes (CNIL) a publie le 24 avril 2026 une version actualisee de sa recommandation sur la securite des systemes de vote par correspondance electronique, a l'issue d'une consultation publique. Le texte precise le cadre applicable aux responsables de traitement qui recourent a un dispositif de vote a distance (elections professionnelles, elections des representants du personnel, consultations internes, scrutins associatifs ou syndicaux). La CNIL reaffirme trois objectifs de meme niveau : securite, confidentialite et sincerite du scrutin. Le document decline des exigences operationnelles sur l'authentification des electeurs, le chiffrement de bout en bout des bulletins, l'audit du code, la tenue d'un expert independant et la journalisation. Ces attendus renvoient directement a l'article 32 du RGPD sur la securite du traitement et a l'article 25 sur la protection des donnees des la conception. Les traitements de vote electronique restent par ailleurs soumis a analyse d'impact prealable au titre de l'article 35 du RGPD, la CNIL les ayant inscrits sur sa liste des traitements obligatoirement soumis a AIPD.

Ce que ca change pour vous : si vous organisez une election professionnelle ou un scrutin interne, reouvrez votre AIPD et confrontez le cahier des charges de votre prestataire aux nouveaux criteres avant toute signature. Sécurité des données personnelles : les obligations de l'article 32 du RGPD — RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL — AIPD : guide complet analyse d'impact RGPD

23 avril 2026 — Apple corrige la faille CVE-2026-28950 exploitee par le FBI sur Signal

Apple a publie le mercredi 22 avril 2026 une mise a jour d'urgence d'iOS et iPadOS pour corriger la vulnerabilite CVE-2026-28950, qui permettait a des outils forensiques d'extraire d'un iPhone les contenus de messages Signal pourtant effaces. D'apres Next.ink, TechCrunch, Schneier on Security et 404 Media, le FBI a exploite cette faiblesse dans une procedure penale recente : les notifications marquees pour suppression etaient conservees de maniere inattendue dans la base locale de notifications push de l'appareil, meme apres desinstallation de l'application. La correction modifie la gestion du cycle de vie de ces notifications. Pour les responsables de traitement qui outillent leurs collaborateurs avec des iPhones professionnels, cet episode rappelle les obligations de l'article 32 du RGPD en matiere de confidentialite et de resistance des terminaux, ainsi que l'exigence de tenir a jour le parc informatique. Il croise egalement les obligations de gestion des vulnerabilites prevues a l'article 21 de la directive NIS2 pour les entites essentielles et importantes, et illustre la limite technique du chiffrement de bout en bout lorsque le terminal lui-meme fuit des metadonnees ou des contenus via des composants systeme.

Ce que ca change pour vous : declenchez une campagne de mise a jour des iPhones professionnels vers la version corrigee et tracez l'application du correctif dans votre politique de gestion des vulnerabilites. Securite des donnees personnelles : les obligations de l'article 32 du RGPD — Chiffrement des donnees : obligations et bonnes pratiques — RGPD et securite : les mesures techniques et organisationnelles exigees par la CNIL

23 avril 2026 — ENISA publie NCAF 2.0 pour evaluer la maturite cyber des Etats membres

L'Agence de l'Union europeenne pour la cybersecurite (ENISA) a publie une mise a jour de son National Cybersecurity Assessment Framework (NCAF 2.0), relayee le 22-23 avril 2026 par Industrial Cyber et CIO.com. Le referentiel vise a aider les Etats membres et les autorites competentes a mesurer et a combler les ecarts de maturite cyber. Il s'inscrit dans le prolongement de la directive NIS2, dont l'article 7 impose aux Etats membres d'adopter une strategie nationale de cybersecurite, et dont l'article 21 definit les mesures techniques et organisationnelles attendues des entites essentielles et importantes. Meme si NCAF 2.0 vise en premier lieu les autorites nationales, les criteres retenus (gouvernance, gestion des risques, chaine d'approvisionnement, gestion de crise, cooperation transfrontaliere) reprennent la meme grille de lecture que celle qui s'appliquera aux controles NIS2 nationaux, dont l'ANSSI prepare le regime en France. Le cadre recoupe egalement les attentes de l'article 32 du RGPD en matiere de mesures de securite proportionnees au risque.

Ce que ca change pour vous : les entites essentielles et importantes peuvent utiliser la grille NCAF 2.0 comme liste de controle interne pour anticiper les futurs audits NIS2 et documenter leur niveau de maturite face aux autorites. Conformite NIS2 : checklist des 10 mesures de securite obligatoires — Directive NIS2 : guide complet des nouvelles obligations de cybersecurite — NIS2 : entites essentielles vs entites importantes

23 avril 2026 — Health Data Hub : Scaleway remplace Microsoft Azure

La ministre de la Sante, Stephanie Rist, a annonce le jeudi 23 avril 2026 la selection de Scaleway (groupe iliad) par la Plateforme des donnees de sante (Health Data Hub, HDH) pour remplacer l'hebergement historique chez Microsoft Azure. L'information, revelee la veille au soir par Politico puis confirmee par communique du HDH et par ZDNet, Next.ink et DSIH, met fin a pres de cinq annees de tensions reglementaires autour du recours a un hyperscaler americain pour le hebergement des donnees de sante francaises. Le choix de Scaleway s'inscrit dans la strategie nationale de cloud de confiance et reaffirme la priorite donnee aux solutions qualifiees SecNumCloud par l'ANSSI pour les donnees les plus sensibles. Sur le plan RGPD, cette migration repond aux inquietudes exprimees de longue date par la CNIL et le CEPD sur les risques d'acces extraterritoriaux au titre du CLOUD Act et du FISA 702, et elle touche directement aux obligations de securite de l'article 32 du RGPD, a la base legale des traitements de recherche fondes sur l'article 9(2)(j) pour les donnees de sante, ainsi qu'au regime de transfert des articles 44 et suivants. Les responsables de traitement qui s'appuient sur des extractions du HDH ou sur des environnements de recherche hebergees par la plateforme devront mettre a jour leur documentation de sous-traitance (article 28), leurs analyses d'impact (article 35) et leurs informations aux personnes concernees (article 13).

Ce que ca change pour vous : si votre organisation utilise les donnees du HDH ou prevoit un projet de recherche sur la plateforme, anticipez la mise a jour de vos conventions de sous-traitance, de vos AIPD et de vos mentions d'information avant la bascule technique. Transfert de donnees hors UE : mecanismes RGPD — SecNumCloud : la qualification ANSSI du cloud de confiance — RGPD et cloud : obligations AWS, Azure, GCP

23 avril 2026 — pgserve et automagik : worm de supply chain sur npm, vol d'identifiants cloud

CSO Online a relayé le 22 avril 2026 une double alerte des éditeurs de sécurité Socket et StepSecurity sur des versions malveillantes de pgserve (serveur PostgreSQL embarqué) et automagik/genie (CLI d'agents IA de Namastex.ai) publiées sur le registre npm. Les versions infectées de pgserve (1.1.11 à 1.1.13) injectent via le hook postinstall un script de 1 143 lignes qui exfiltre tokens, clés SSH, secrets .env, identifiants AWS, Azure et GCP, portefeuilles crypto et mots de passe stockés dans le navigateur. Les données volées sont chiffrées puis envoyées vers un canister Internet Computer Protocol, délibérément choisi pour résister aux saisies. Si un jeton de publication npm est présent, le malware s'injecte dans tous les paquets publiables par ce compte : il s'agit donc d'un véritable ver de supply chain, similaire à la campagne CanisterWorm récente. Socket estimait 6 744 téléchargements hebdomadaires pour les versions infectées d'automagik et environ 1 300 pour pgserve au moment de la publication de l'avis. Pour les entités essentielles et importantes, l'incident mobilise l'article 21 de la directive NIS2 sur la sécurité de la chaîne d'approvisionnement logicielle ; côté RGPD, toute exposition de données personnelles déclenche l'obligation de notification de l'article 33 et, le cas échéant, la communication aux personnes concernées de l'article 34.

Ce que ça change pour vous : vérifiez sans attendre les versions de pgserve et automagik présentes dans vos dépôts npm, faites tourner vos secrets (tokens, clés SSH, identifiants cloud, tokens de publication) si une version compromise a été installée, et durcissez les règles egress de vos runners CI/CD ainsi que la séparation des comptes de service entre build et déploiement. Sous-traitance sécurité : exigences NIS2 et RGPD pour la chaîne d'approvisionnement — CRA et logiciels open source : exemptions et obligations — Notification violation données CNIL : procédure 72h

22 avril 2026 — DGSI : note d'alerte sur les logiciels et applications étrangers

Incyber News et Siècle Digital ont relayé, le 22 avril 2026, la prépublication d’une note de la Direction générale de la sécurité intérieure (DGSI) adressée aux entreprises, instituts de recherche et administrations. La note, d’abord révélée par Franceinfo le 17 avril, alerte sur les « vulnérabilités régulièrement sous-estimées » des applications et logiciels étrangers utilisés en France, en citant des cas concrets anonymisés dans lesquels une messagerie, un outil de visioconférence ou une solution d’IA servaient de vecteur d’espionnage industriel. Le document cible explicitement les messageries instantanées, les outils de visioconférence, les solutions d’IA et les services de stockage, et préconise d’évaluer la réputation du fournisseur avant tout déploiement, de mettre en œuvre une politique de restrictions logicielles sur les postes professionnels, et de privilégier des solutions françaises ou hébergées en France, idealement qualifiées SecNumCloud par l’ANSSI ou porteuses du label « France Cybersecurity ». Sur le terrain du RGPD, l’avis recoupe les obligations de sécurité de l’article 32, les exigences contractuelles de l’article 28 sur les sous-traitants, et le cadre des articles 44 à 49 en cas de transfert hors UE. Il rejoint également les obligations de gestion de la chaîne d’approvisionnement logicielle imposées par l’article 21 de la directive NIS2 aux entités essentielles et importantes.

Ce que ça change pour vous : révisez votre cartographie des outils collaboratifs en y intégrant le pays d’édition, l’hébergement effectif et les qualifications existantes (SecNumCloud, label France Cybersecurity), et intégrez ces critères dans vos procédures d’achat et vos clauses avec les sous-traitants. SecNumCloud : la qualification ANSSI du cloud de confiance — Sous-traitance sécurité : exigences NIS2 et RGPD pour la chaîne d'approvisionnement — Transfert données hors UE : mécanismes RGPD

22 avril 2026 — HexDex interpellé en Vendée : enquête sur la vague de fuites françaises

Un homme de 22 ans, soupçonné d’être le pirate informatique connu sous le pseudonyme « HexDex », a été interpellé le lundi 20 avril 2026 en Vendée, selon les informations relayées par Next.ink, Franceinfo, le Parisien et l’AFP, et confirmées le 22 avril par 01net. Son matériel informatique a été saisi. Le parquet avait ouvert une enquête pour atteinte à un système de traitement automatisé de données après plus d’une centaine de signalements d’exfiltration depuis décembre 2025. HexDex revendique près de quarante intrusions publiées sur des forums spécialisés, notamment contre plusieurs fédérations sportives, le Système d’information sur les armes (SIA) du ministère de l’Intérieur, l’Agence nationale de la cohésion des territoires (ANCT) et la plateforme Choisir le service public. Cette interpellation intervient au lendemain de la confirmation, par l’ANTS, d’une fuite portant jusqu’à 19 millions d’enregistrements d’identité (données relayées par TechRadar et BleepingComputer le 21 avril 2026), et confirme que les opérations de ce profil relevaient d’un acteur unique et lucratif. Pour les responsables de traitement visés par l’une des campagnes revendiquées par HexDex, l’enquête pénale n’exonère pas des obligations de notification de violation à la CNIL (article 33 du RGPD) ni de communication aux personnes concernées (article 34 du RGPD). Le dossier illustre également les exigences de sécurité de l’article 32 du RGPD et, pour les entités essentielles ou importantes, celles de l’article 21 de la directive NIS2.

Ce que ça change pour vous : si votre organisation figure parmi les cibles revendiquées ou soupçonne une compromission liée à cette série, documentez votre analyse d’incident, préservez les traces techniques utiles à la procédure, et vérifiez que la notification à la CNIL dans les 72 heures et la communication aux personnes concernées ont bien été effectuées. Notification violation données CNIL : procédure 72h — Fuite de données : procédure de gestion et notification RGPD — RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL

22 avril 2026 — Mozilla : Mythos (Anthropic) trouve et corrige 271 failles dans Firefox

Mozilla a annoncé, via une publication de Wired du 21 avril 2026 et une intervention publique de sa CTO relayée le 22 avril par The Register, avoir utilisé l’outil « Mythos » d’Anthropic pour détecter et corriger 271 vulnérabilités dans le code source de Firefox. Selon la fondation, aucune des failles identifiées n’aurait été hors de portée d’un analyste humain expérimenté ; la contribution essentielle du modèle réside dans la mise à l’échelle de la revue de code et dans la réduction du délai entre l’introduction d’une régression et sa correction. Cet usage défensif contraste avec l’alerte publiée le 15 avril 2026 par l’Institut britannique de sécurité de l’IA, qui avait souligné les capacités cyber-offensives de Mythos et de GPT-5.4-Cyber. Pour les responsables de traitement et les entités essentielles ou importantes au sens de la directive NIS2, l’épisode illustre que les obligations de sécurité de l’article 32 du RGPD et de gestion des vulnérabilités de l’article 21 de la directive NIS2 peuvent désormais s’appuyer sur des outils d’IA défensifs industrialisables. Les fabricants soumis au Cyber Resilience Act (CRA) devront intégrer ces moyens dans leur processus de traitement des vulnérabilités au titre de l’article 13.

Ce que ça change pour vous : évaluez l’intégration d’outils d’IA de détection de vulnérabilités dans votre cycle de développement logiciel et votre gestion de correctifs, documentez les limites connues de ces outils dans votre analyse de risques, et tracez les décisions de correction ou de non-correction pour pouvoir les justifier à l’autorité de contrôle. RGPD et sécurité : les mesures techniques et organisationnelles exigées — Conformité NIS2 : checklist des 10 mesures de sécurité obligatoires — IA et RGPD : les règles applicables au traitement par intelligence artificielle

21 avril 2026 — ANTS piratée : données d'identité de millions d'usagers, parquet saisi

Le ministère de l'Intérieur a confirmé, le 20 avril 2026, que l'Agence nationale des titres sécurisés (ANTS), qui gère en France la délivrance des cartes nationales d'identité, passeports et permis de conduire, a été victime d'une cyberattaque ayant conduit à la consultation illégale de données à caractère personnel. Selon les premières informations relayées par Silicon.fr et InCyber News, les données exposées portent sur des éléments d'identification (nom, prénom, adresse email, date de naissance, identifiant de compte et, dans certains cas, adresse postale ou numéro de téléphone) de millions d'usagers, les pièces justificatives transmises lors des démarches n'étant pas concernées. L'attaque aurait été détectée cinq jours avant l'annonce publique, un délai signalé par Siècle Digital. Un signalement a été adressé au parquet de Paris et une enquête est ouverte ; les investigations techniques se poursuivent. Les personnes concernées sont contactées individuellement. L'ANTS étant responsable de traitement au sens du RGPD, l'incident déclenche l'obligation de notification à la CNIL dans les 72 heures (article 33 RGPD) ainsi qu'une communication aux personnes concernées en cas de risque élevé (article 34 RGPD). Les données divulguées exposent mécaniquement les usagers à des campagnes de phishing ciblées et à des tentatives d'usurpation d'identité.

Ce que ça change pour vous — si vous êtes responsable de traitement et gérez des données d'identification équivalentes, vérifiez vos propres mesures de contrôle d'accès, de journalisation et de détection d'anomalie, et assurez-vous que votre procédure interne de notification CNIL à 72 heures et d'information des personnes concernées (articles 33 et 34 RGPD) est effectivement testée. Notification violation données CNIL : procédure 72h — Fuite de données : procédure de gestion et notification RGPD — RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL

20 avril 2026 — Royaume-Uni : alerte officielle sur les capacités cyber-offensives des IA

Le gouvernement britannique a publié le 15 avril 2026 une lettre ouverte alertant les entreprises sur les risques de cybersécurité posés par la nouvelle génération de modèles d'IA, en citant nommément Claude Mythos (Anthropic) et GPT-5.4-Cyber (OpenAI). Selon l'Institut britannique de sécurité de l'IA (rattaché au ministère des Sciences, de l'Innovation et de la Technologie), Claude Mythos serait « nettement plus performant en matière de cyberoffensive que tout autre modèle évalué jusqu'à présent » : ses capacités de détection de vulnérabilités et de génération de code d'exploitation ont conduit Anthropic et OpenAI à ne pas rendre ces modèles publics et à les réserver à des partenaires de confiance. L'exécutif souligne que ces outils permettent désormais d'accomplir à l'échelle des tâches qui relevaient jusqu'ici de compétences rares. Pour les responsables de traitement et les entités essentielles / importantes, ce constat renforce les exigences de gestion des vulnérabilités et de sécurité au titre de l'article 32 du RGPD et de l'article 21 de la directive NIS2, ainsi que les obligations de gestion des risques cyber des produits au titre de l'article 13 du Cyber Resilience Act.

Ce que ça change pour vous : intégrez dans votre analyse de risque l'hypothèse d'attaquants disposant de modèles d'IA capables d'automatiser la découverte de vulnérabilités et la génération d'exploits ; rehaussez la fréquence de vos scans, la rigueur du patch management et vos tests d'intrusion. RGPD et sécurité : les mesures techniques et organisationnelles exigées — Conformité NIS2 : checklist des 10 mesures de sécurité obligatoires — IA et RGPD : les règles applicables au traitement par intelligence artificielle

20 avril 2026 — Vercel : intrusion via un outil IA tiers (Context.ai) et OAuth Google Workspace

Vercel, éditeur du framework Next.js, a annoncé le 19 avril 2026 avoir été victime d'un incident de sécurité trouvant son origine dans la compromission d'un outil d'IA tiers, Context.ai, utilisé par un de ses employés. Selon Vercel, l'attaquant a exploité cet accès pour prendre le contrôle du compte Google Workspace de l'employé, puis accéder à certains environnements et variables d'environnement Vercel qui n'étaient pas marquées comme sensibles. Context confirme avoir subi une intrusion en mars, ayant permis de compromettre des jetons OAuth de ses clients ; l'application Google Workspace de Context avait reçu des autorisations « Tout autoriser » via OAuth. Un nombre limité de clients Vercel dont les identifiants étaient compromis a été contacté et invité à renouveler immédiatement ses identifiants et variables d'environnement. L'incident illustre les risques introduits par l'intégration non gouvernée d'outils d'IA générative dans les chaînes CI/CD et la nécessité de restreindre les scopes OAuth accordés aux applications tierces. Cette problématique rejoint directement l'article 21 de la directive NIS2 sur la sécurité de la chaîne d'approvisionnement et l'article 32 du RGPD sur la sécurité du traitement.

Ce que ça change pour vous — inventoriez les applications OAuth connectées à vos tenants Microsoft 365 / Google Workspace, restreignez les scopes accordés aux outils d'IA tiers, classifiez comme sensibles toutes les variables d'environnement de production, et documentez ces contrôles dans votre analyse NIS2 de la chaîne d'approvisionnement. Fuite de données : procédure de gestion et notification RGPD — Notification de cyberattaque : qui prévenir, quand et comment — Notification violation données CNIL : procédure 72h

19 avril 2026 — NIST cesse de scorer les CVE non prioritaires, volume de soumissions en hausse

Le National Institute of Standards and Technology (NIST) a annoncé le 19 avril 2026 qu'il cesserait d'attribuer des scores de sévérité aux vulnérabilités dites « non prioritaires » dans la National Vulnerability Database (NVD), invoquant la hausse continue des soumissions qui sature ses équipes d'analyse. Seules les failles prioritaires feront désormais l'objet d'un enrichissement complet (score CVSS, vecteur, CWE). Pour les autres CVE, les RSSI européens devront s'appuyer sur des sources alternatives — ENISA EUVD, CERT-FR, bases commerciales — pour prioriser leurs correctifs. Cette décision accroît la charge des équipes conformité chargées de la gestion des vulnérabilités, obligation expressément prévue par l'article 21 de la directive NIS2 et l'article 13 du Cyber Resilience Act.

Ce que ça change pour vous : complétez votre veille CVE avec la base EUVD de l'ENISA et les bulletins du CERT-FR ; formalisez dans votre politique de gestion des vulnérabilités l'usage d'au moins deux sources de scoring indépendantes. Conformité NIS2 : checklist des 10 mesures de sécurité obligatoires

19 avril 2026 — Piratage Europa.eu : leçons IAM, moindre privilège et MFA défaillants

Une analyse technique publiée le 19 avril 2026 revient sur la compromission d'Europa.eu officialisée le 27 mars par la Commission européenne et documentée par le CERT-EU le 2 avril. Les experts identifient un double défaut de contrôle d'accès : l'identité utilisée par les attaquants pouvait récupérer des secrets sur tout ARN du compte AWS, et le principal SSO comportait un wildcard. Combiné à l'absence de MFA au niveau du fournisseur d'identité, ce niveau de privilèges a permis d'énumérer les ressources (s3:ListBucket, iam:ListRoles), d'extraire des clés DKIM stockées en clair dans AWS Secrets Manager et d'exfiltrer 340 Go de données (courriels, annuaire SSO, dumps AWS). Le vecteur initial exploitait une mauvaise configuration d'environnement GitHub Actions du scanner Trivy. Cette exigence technique rejoint directement l'article 32 du RGPD et l'article 21 de NIS2 sur les mesures de sécurité adaptées aux risques.

Ce que ça change pour vous : auditez immédiatement vos politiques IAM (wildcards, secrets accessibles à tous les ARN), imposez la MFA côté IdP et chiffrez les secrets sensibles comme les clés DKIM plutôt que de les stocker en clair. RGPD et sécurité : les mesures techniques et organisationnelles exigées — Conformité NIS2 : checklist des 10 mesures de sécurité obligatoires

15 avril 2026 — FBI : intrusion Salt Typhoon classée « incident majeur »

Le FBI a officiellement qualifié d'« incident majeur » l'intrusion détectée en février 2026 sur son réseau DCSNet (Digital Collection System Network), le système utilisé pour gérer les écoutes judiciaires et les demandes de surveillance. L'attaque, attribuée au groupe Salt Typhoon lié au ministère chinois de la Sécurité d'État, a permis l'accès à des données sensibles d'enquête, notamment les numéros de téléphone de cibles sous surveillance. Le Congrès américain a été notifié conformément à la loi de 2014 sur les incidents cyber majeurs. Les attaquants auraient exploité l'infrastructure d'un fournisseur d'accès Internet commercial pour contourner les contrôles de sécurité du FBI. Cet incident illustre la menace persistante des attaques étatiques sur les infrastructures critiques de renseignement.

Ce que ça change pour vous : cet incident rappelle l'importance critique de la sécurisation des chaînes de sous-traitance, un enjeu central de NIS2 pour les opérateurs d'infrastructures essentielles.

13 avril 2026 — Adobe Acrobat Reader : zero-day CVE-2026-34621 exploité depuis décembre 2025

Adobe a publié un correctif d'urgence le 12 avril 2026 (bulletin APSB26-43) pour une vulnérabilité critique (CVSS 8.6) dans Acrobat et Reader, activement exploitée depuis décembre 2025. La faille, de type prototype pollution, permet l'exécution de code arbitraire à l'ouverture d'un simple fichier PDF piégé. Le chercheur Haifei Li (EXPMON) décrit un exploit sophistiqué utilisant du JavaScript obfusqué pour exfiltrer des données sensibles et télécharger des charges utiles supplémentaires. Toute organisation utilisant Acrobat Reader doit appliquer le correctif immédiatement : l'exploitation ne nécessite aucune interaction complexe de la part de l'utilisateur, ce qui en fait un vecteur d'attaque particulièrement dangereux pour les postes de travail manipulant des documents PDF.

Ce que ça change pour vous : appliquez immédiatement la mise à jour Adobe Acrobat/Reader et sensibilisez vos équipes à ne pas ouvrir de PDF d'origine inconnue. Sécurité des données personnelles : les obligations de l'article 32 du RGPD — Support sécurité des produits numériques : les obligations de mises à jour

12 avril 2026 — Juniper Networks : faille CVSS 9.8, prise de contrôle totale

Le CERT-FR a publié l'avis CERTFR-2026-AVI-0416 concernant plusieurs vulnérabilités critiques dans les produits Juniper Networks. La plus grave, CVE-2026-33784 (CVSS 9.8), affecte les appliances Support Insights Virtual Lightweight Collector (vLWC) et permet à un attaquant non authentifié d'obtenir un accès administrateur complet via des identifiants par défaut. Une seconde faille, CVE-2026-21902, touche les routeurs PTX Series sous Junos OS Evolved et permet une élévation de privilèges jusqu'à root. D'autres vulnérabilités affectent les pare-feux SRX (crash du processus srxpfe via ICMPv6 malformé) et les FPC des PTX Series. Juniper a publié des correctifs pour l'ensemble de ces failles. Les entités soumises à NIS2 doivent prioriser le déploiement de ces patchs sur leurs équipements réseau critiques.

Ce que ça change pour vous : vérifiez immédiatement si vos équipements Juniper utilisent des identifiants par défaut et appliquez les correctifs CERTFR-2026-AVI-0416 en priorité. Directive NIS2 : guide complet des nouvelles obligations — Conformité NIS2 : checklist des 10 mesures obligatoires — Gestion des vulnérabilités : processus conforme au CRA

12 avril 2026 — Synergy France visée par un ransomware : risque de compromission en cascade

Synergy France, spécialiste de la gestion, de la transformation et de la gouvernance des données en environnement cloud, est victime d'une attaque par ransomware signalée le 6 avril 2026. L'entreprise accompagne de nombreux clients sur des projets critiques liés au traitement de données, ce qui pose la question d'une compromission en cascade des données confiées par ses clients. À ce stade, l'ampleur exacte de l'exfiltration n'est pas connue. Ce type d'incident rappelle l'obligation des responsables de traitement de s'assurer contractuellement et opérationnellement de la sécurité de leurs sous-traitants (art. 28 RGPD). Les clients de Synergy doivent vérifier s'ils sont concernés et, le cas échéant, procéder à une notification à la CNIL dans le délai de 72 heures prévu par l'article 33 du RGPD.

Ce que ça change pour vous : si vous êtes client de Synergy France, contactez votre interlocuteur pour évaluer l'impact sur vos traitements et préparez une éventuelle notification CNIL. RGPD et cloud : obligations AWS, Azure, GCP — Notification violation données CNIL : procédure 72h — Sous-traitance sécurité : exigences NIS2 et RGPD

12 avril 2026 — Secure Boot : certificats Microsoft expirent en juin 2026

Le CERT-FR a publié une alerte (CERTFR-2026-ACT-014) signalant l'expiration imminente de trois certificats Microsoft essentiels au démarrage sécurisé (Secure Boot) des machines Windows. Les certificats Microsoft Corporation KEK CA 2011 et Microsoft UEFI CA 2011 expirent respectivement les 24 et 27 juin 2026. Un quatrième certificat (Windows Production PCA 2011) expire le 19 octobre 2026.

Sans mise à jour vers les nouveaux certificats émis en 2023, les systèmes ne pourront plus recevoir les correctifs de sécurité relatifs au processus de démarrage, ni valider les logiciels tiers signés avec les nouvelles clés. Microsoft déploie progressivement les mises à jour via les correctifs mensuels cumulatifs (KB5077181), mais les organisations doivent vérifier le déploiement effectif sur l’ensemble de leur parc, y compris les postes hors réseau ou en mise à jour différée.

Cette obligation de maintien en conditions de sécurité s’inscrit directement dans les exigences de l’article 21 de la directive NIS 2 et les bonnes pratiques de gestion des vulnérabilités recommandées par l’ANSSI.

Ce que ça change pour vous : vérifiez dès maintenant le déploiement des certificats Secure Boot 2023 sur l'ensemble de votre parc Windows avant l'échéance de juin 2026. Actualité cybersécurité 2026 : NIS2, CRA, ANSSI — Authentification forte (MFA) : obligations légales et mise en œuvre — Plan de continuité d'activité (PCA) : guide complet

11 avril 2026 — Santé : 35 millions de patients exposés, 130 hôpitaux compromis

Le groupe DumpSec revendique le piratage des Agences Régionales de Santé (ARS) et la mise en vente d'une base contenant les données de 35 millions de patients français. Plus de 130 hôpitaux sont concernés, principalement dans le Nord-Pas-de-Calais, en Normandie et en Auvergne-Rhône-Alpes, incluant des établissements de l'AP-HP. Les données exposées comprennent l'identité complète (nom, prénom, sexe, date de naissance), les numéros de sécurité sociale, les coordonnées (adresse, e-mail, téléphone) ainsi que des données de suivi hospitalier. L'attaque initiale remonte à septembre 2025 sur les systèmes des ARS, mais la mise en vente des données a été constatée début avril 2026.

Ce que ça change pour vous — Les établissements de santé doivent vérifier immédiatement si leurs systèmes sont concernés et notifier la CNIL dans les 72 heures si une violation est confirmée. Fuites de données : obligations RGPD — Sous-traitant RGPD : obligations

11 avril 2026 — Commission européenne : 340 Go de données volées, 30 entités UE touchées

CERT-EU a attribué la cyberattaque contre l'infrastructure cloud de la Commission européenne au groupe TeamPCP. Les pirates ont exploité une attaque par chaîne d'approvisionnement visant l'outil open source Trivy, utilisé par la Commission pour sa sécurité. En téléchargeant une version compromise de Trivy le 19 mars, la Commission a involontairement exposé une clé API secrète liée à son compte AWS. Les attaquants ont ensuite exfiltré environ 340 Go de données, incluant des noms, adresses e-mail et contenus de courriels. Le groupe ShinyHunters a ensuite publié ces données en ligne. Au total, les données d'au moins 30 entités européennes ont été compromises, avec 52 000 fichiers contenant des messages envoyés.

Ce que ça change pour vous — Auditez vos dépendances open source et vérifiez que vos clés API cloud ne sont pas exposées dans vos pipelines CI/CD. AWS et RGPD : conformité cloud — Sous-traitance sécurité : exigences NIS2 et RGPD — Fuites de données : obligations RGPD

10 avril 2026 — Ymed : 253 000 dossiers patients exposés, données médicales en fuite

Le groupe XP95 a revendiqué le piratage de Ymed, entreprise bordelaise spécialisée dans les solutions numériques pour la santé. La fuite, signalée le 5 avril 2026, concerne plus de 253 000 patients avec 132 Go de données exposées, incluant identités complètes, documents médicaux et prescriptions. Les données de santé bénéficient d'une protection renforcée au titre de l'article 9 du RGPD en tant que catégories particulières. L'ampleur de cette violation — tant par le volume que par la sensibilité des données — place Ymed face à des obligations de notification immédiate auprès de la CNIL et des personnes concernées. Cette fuite s'inscrit dans un contexte de multiplication des attaques contre le secteur de la santé en France.

Ce que ça change pour vous — les sous-traitants de santé doivent vérifier la conformité de leurs mesures de sécurité techniques (chiffrement, segmentation réseau) et tester leurs procédures de notification de violation. Notification violation données CNIL : procédure 72h — Sécurité des données : obligations de l'article 32 RGPD

10 avril 2026 — Éducation nationale : 243 000 agents exposés via une intrusion COMPAS

Le ministère de l'Éducation nationale a confirmé un incident de sécurité majeur : le 15 mars 2026, un accès frauduleux via un compte externe compromis a permis l'exfiltration de données personnelles d'environ 243 000 agents (stagiaires et titulaires) depuis le système COMPAS, dédié à la gestion des stagiaires. Le COSSIM (Centre opérationnel de sécurité du ministère) a été alerté le 19 mars. L'ANSSI et la CNIL ont été saisies, et un dépôt de plainte est en cours. Le ministère appelle ses agents à la vigilance face aux tentatives de phishing et d'usurpation d'identité. Cet incident illustre les risques persistants liés à la compromission de comptes dans les systèmes d'information publics.

Ce que ça change pour vous — les établissements publics utilisant des systèmes RH similaires doivent auditer leurs accès externes et renforcer l'authentification multi-facteurs. Fuite de données : procédure de gestion et notification RGPD — Sécurité des données : obligations de l'article 32 RGPD

10 avril 2026 — AlumnForce : 2,7 millions de profils d'étudiants et diplômés exposés

La plateforme AlumnForce, utilisée par les réseaux alumni de nombreuses universités et grandes écoles françaises, a subi une violation de données massive le 6 avril 2026. Environ 2,7 millions de profils ont été compromis, incluant des données professionnelles sensibles : parcours de carrière, souhaits d'emploi, fourchettes de rémunération, compétences et coordonnées. La base contient plus de 1,8 million d'adresses email uniques et 650 000 numéros de téléphone. Un acteur malveillant affirme mettre en vente cette base, couvrant des diplômes de 1901 à 2026. Les établissements concernés (dont l'ICN et l'Université de Strasbourg) ont notifié la CNIL. Le risque principal réside dans les attaques d'ingénierie sociale ciblées : phishing aux couleurs de réseaux alumni, faux recruteurs exploitant les données de carrière.

Ce que ça change pour vous — vérifiez si votre établissement utilise AlumnForce comme sous-traitant et, le cas échéant, exigez le détail de la notification au titre de l'article 33 du RGPD. Fuite de données : procédure de gestion et notification RGPD — Notification violation données CNIL : procédure 72h — Article 28 RGPD : Contrat Sous-Traitant et Obligations

10 avril 2026 — Axios npm compromis : RAT nord-coréen, 100 M téléchargements/semaine

Le 30 mars 2026, des acteurs nord-coréens liés au groupe Sapphire Sleet (UNC1069) ont compromis le compte npm du mainteneur principal d'Axios — bibliothèque HTTP parmi les plus téléchargées au monde — via une opération d'ingénierie sociale ciblée. Deux versions malveillantes ont été publiées en 39 minutes (axios@1.14.1 et axios@0.30.4), injectant la dépendance frauduleuse plain-crypto-js@4.2.1, dont le hook postinstall télécharge silencieusement un Remote Access Trojan (RAT) multiplateforme depuis un serveur de commande et de contrôle. L'impact potentiel couvre 100 millions de téléchargements hebdomadaires sur npm. Microsoft Threat Intelligence a attribué l'attaque à Sapphire Sleet le 1er avril 2026 ; le CERT-FR a relayé l'alerte dans son bulletin CERTFR-2026-ACT-015 du 7 avril 2026. Tout système traitant des données personnelles via une dépendance compromise est susceptible d'activer l'obligation de notification à la CNIL dans les 72 heures au titre des articles 32 et 33 du RGPD. Cette attaque illustre l'intersection entre sécurité de la chaîne d'approvisionnement logicielle (Art. 32 RGPD) et gestion des violations de données (Art. 33 RGPD).

Auditez immédiatement vos projets Node.js pour toute dépendance sur axios@1.14.1 ou axios@0.30.4, migrez vers une version saine et vérifiez l'intégrité de votre chaîne de dépendances npm. Notification violation données CNIL : procédure 72h — Fuite de données : procédure de gestion et notification RGPD

8 avril 2026 — CERT-FR : faille OT dans Moxa BXP, élévation de privilèges (CVE-2026-4483)

Le CERT-FR a publié le 8 avril 2026 l'avis CERTFR-2026-AVI-0405 concernant une vulnérabilité dans les ordinateurs industriels Moxa (séries BXP-A100, BXP-A101, BXP-C100). La faille CVE-2026-4483, issue du bulletin Moxa MPSA-254811, affecte l'utilitaire MxGeneralIo : des méthodes IOCTL exposées avec un contrôle d'accès insuffisant permettent à un attaquant local d'accéder directement aux registres MSR et à la mémoire système. L'impact opérationnel comprend une élévation de privilèges, une atteinte à la confidentialité et à l'intégrité des données — risques particulièrement critiques en environnement OT/ICS. Les versions antérieures à v1.5.0 sous Windows 10, 11 et 7 sont concernées. Pour les entités essentielles et importantes soumises à NIS2, la gestion des correctifs sur les équipements OT relève de l'obligation de sécurité prévue à l'Art. 21 NIS2.

Inventoriez vos ordinateurs industriels Moxa BXP et appliquez le correctif v1.5.0 ou le patch de sécurité v1.4.0 disponible auprès de Moxa. Sous-traitance sécurité : exigences NIS2 et RGPD pour la chaîne d'approvisionnement — PSSI : politique de sécurité des systèmes d'information

9 avril 2026 — CNIL : MFA obligatoire pour les grandes bases de données, sanctions en cas d'absence

La CNIL a annoncé qu'elle renforcera dès 2026 sa politique de contrôle pour s'assurer de la mise en place de l'authentification multifacteur (MFA) pour l'accès aux grandes bases de données personnelles. L'absence de cette mesure pourra désormais justifier l'ouverture d'une procédure de sanction. L'autorité rappelle que près de 80 % des violations de grande ampleur constatées en 2024 ont été rendues possibles par l'usurpation du compte d'un employé ou d'un sous-traitant protégé par un simple mot de passe. Quatre actions prioritaires sont identifiées : déploiement du MFA, journalisation des accès (rétention de 6 à 12 mois), sensibilisation des utilisateurs et encadrement des sous-traitants. La CNIL recommande de privilégier un facteur de possession conforme au niveau R39 des recommandations de l'ANSSI.

Vérifiez immédiatement que l'accès à vos bases de données de plus de 100 000 enregistrements est protégé par une authentification multifacteur conforme aux recommandations ANSSI. Sécurité des données : les obligations de l'article 32 du RGPD — RGPD et sécurité : les mesures techniques et organisationnelles

8 avril 2026 — OpenSSL : 7 vulnérabilités corrigées, dont CVE-2026-31790 (mémoire exposée)

OpenSSL a publié le 8 avril 2026 une mise à jour de sécurité corrigeant sept vulnérabilités sur l'ensemble des branches supportées. La faille principale, CVE-2026-31790 (sévérité modérée), affecte l'encapsulation RSA KEM RSASVE : un contrôle incorrect de la valeur de retour de RSA_public_encrypt() permet à un attaquant fournissant une clé publique RSA malveillante d'accéder à de la mémoire non initialisée. Six autres failles de sévérité basse ont été corrigées, dont une lecture hors limites dans AES-CFB-128 sur les systèmes x86-64 avec AVX-512 (CVE-2026-28386), un use-after-free dans les configurations DANE (CVE-2026-28387) et un dépassement de tampon sur les plateformes 32 bits (CVE-2026-31789). Les versions correctives sont OpenSSL 3.0.20, 3.3.7, 3.4.5, 3.5.6 et 3.6.2.

Ce que ça change pour vous : planifiez la mise à jour d'OpenSSL sur vos serveurs et vérifiez la version déployée dans vos conteneurs et images de build. Sécurité des données personnelles : les obligations de l'article 32 — PSSI : politique de sécurité des systèmes d'information

8 avril 2026 — GLPI : 7 failles critiques corrigées, dont une RCE (CVE-2026-26026)

Le CERT-FR a publié le 7 avril 2026 un avis de sécurité (CERTFR-2026-AVI-0401) concernant sept vulnérabilités dans GLPI, l'outil de gestion de parc informatique très répandu en France. La plus grave, CVE-2026-26026 (CVSS 9.1), permet une exécution de code à distance via une injection de template par un administrateur. Deux autres failles affectent les versions 11.0.x : une injection SQL non authentifiée dans le moteur de recherche (CVE-2026-26263, CVSS 8.1) et une XSS stockée via l'endpoint d'inventaire (CVE-2026-26027, CVSS 7.5). Les versions 10.0.x sont également touchées par une injection SQL dans l'export des journaux (CVE-2026-29047, CVSS 7.2). Les correctifs sont disponibles dans GLPI 11.0.6 et 10.0.24. La mise à jour est impérative pour toute instance exposée sur le réseau.

Ce que ça change pour vous : mettez à jour GLPI vers 11.0.6 ou 10.0.24 immédiatement, en priorité si votre instance est accessible depuis Internet. Audit de sécurité informatique : méthodologie et outils — Sécurité des données personnelles : les obligations de l'article 32

8 avril 2026 — Chrome : zero-day CVE-2026-5281 activement exploité, patch urgent

Google a publié le 1er avril 2026 une mise à jour hors cycle de Chrome 146 pour corriger la vulnérabilité CVE-2026-5281, un use-after-free dans Dawn (implémentation WebGPU de Chromium). La faille permet l'exécution de code arbitraire via une page HTML piégée lorsque le processus de rendu est compromis. Google confirme l'existence d'un exploit actif dans la nature. Le CISA a ajouté la CVE à son catalogue KEV avec obligation de correction pour les agences fédérales américaines. Tous les navigateurs basés sur Chromium sont affectés (Edge, Brave, Vivaldi, Opera). Il s'agit du quatrième zero-day Chrome corrigé depuis le début de l'année 2026.

Ce que ça change pour vous : mettez à jour Chrome vers la version 146.0.7680.177 ou ultérieure sur tous les postes de travail, et vérifiez la politique de mise à jour automatique de vos navigateurs Chromium. Analyse de risques EBIOS RM et ISO 27005 : méthodes, différences et mise en oeuvre — Sensibilisation à la sécurité informatique : construire un programme efficace et conforme

7 avril 2026 — Conseil de l'UE : sanctions cyber contre des entités iraniennes et chinoises

Le 16 mars 2026, le Conseil de l'Union européenne a adopté de nouvelles sanctions dans le cadre du régime européen de lutte contre les cyberattaques. Trois entités — Emennet Pasargad (Iran), Integrity Technology Group et Anxun Information Technology (Chine) — ainsi que deux individus sont désormais visés par un gel d'avoirs et une interdiction d'entrée sur le territoire de l'UE.

Emennet Pasargad est impliquée dans des attaques visant Charlie Hebdo en 2023 et des opérations de désinformation lors des JO de Paris 2024. Integrity Technology aurait contribué au piratage de plus de 65 000 appareils dans six États membres entre 2022 et 2023. Anxun a fourni des services de piratage ciblant les infrastructures critiques d’États membres.

Ces sanctions portent le total à 7 entités et 19 individus sous le régime cyber européen. Cette obligation de vigilance sur la chaîne d’approvisionnement IT rejoint les exigences de l’article 21 de la directive NIS 2.

Ce que ça change pour vous : vérifiez que vos fournisseurs IT ne figurent pas sur la liste des entités sanctionnées par l'UE. Actualité cybersécurité 2026 — Actualité NIS2 2026 — CRA et NIS2 : articulation des deux règlements

6 avril 2026 — OVHcloud : revendication de compromission massive démentie par le fondateur

Le 23 mars 2026, un acteur malveillant a revendiqué sur BreachForums avoir exfiltré 590 To de données d'OVHcloud, incluant 1,6 million de dossiers clients et 5,9 millions d'enregistrements de domaines. L'attaquant affirme avoir compromis un compte parent disposant de privilèges d'administration étendus. Octave Klaba, fondateur d'OVHcloud, a démenti ces allégations, indiquant que l'échantillon de données fourni n'a pas été retrouvé sur les serveurs de l'entreprise. Les chercheurs en sécurité soulignent que la preuve avancée — une seule ligne de données contenant un email et un numéro de téléphone — est insuffisante pour accréditer une compromission de cette ampleur. L'incident intervient dans un contexte de multiplication des attaques contre les hébergeurs européens et de renforcement des obligations NIS 2 pour les fournisseurs de services cloud.

Ce que ça change pour vous : vérifiez les mesures de sécurité de vos hébergeurs cloud et assurez-vous que vos contrats de sous-traitance prévoient une notification d'incident conforme aux articles 28 et 33 du RGPD. Sécurité du cloud : le modèle de responsabilité partagée — Fuite de données : procédure de gestion et notification RGPD

5 avril 2026 — NIS2 Allemagne : date limite d'enregistrement auprès du BSI en avril

L'Allemagne, qui a transposé la directive NIS2 le 6 décembre 2025, impose aux entités essentielles et importantes de s'enregistrer auprès du BSI (Bundesamt für Sicherheit in der Informationstechnik) dans un délai de trois mois, soit d'ici avril 2026. Ce calendrier contraste avec le retard français, où la transposition législative est repoussée à juillet 2026. L'Allemagne rejoint ainsi la Belgique, la Croatie et la Hongrie parmi les États membres ayant finalisé leur transposition, alors que 15 pays font l'objet de procédures d'infraction pour retard. Pour les entreprises françaises opérant en Allemagne, cette date limite est immédiate et requiert une action concrète.

Ce que ça change pour vous : si votre entreprise opère en Allemagne, vérifiez votre statut NIS2 et procédez à l'enregistrement auprès du BSI sans délai. Actualité NIS2 2026 : directive cybersécurité européenne — Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Actualité cybersécurité 2026 : NIS2, CRA, ANSSI

5 avril 2026 — CERT-FR : vulnérabilités critiques dans Linux, OpenSSH et VMware (3 avril)

Le CERT-FR a publié le 3 avril 2026 une série d'avis de sécurité couvrant des vulnérabilités multiples dans le noyau Linux d'Ubuntu et de Red Hat, dans les produits IBM, VMware Tanzu, Synology Mail Station, Microsoft Edge et OpenSSH. Par ailleurs, la Shadowserver Foundation recense plus de 14 000 instances F5 BIG-IP APM toujours exposées sur Internet et non corrigées, avec la vulnérabilité CVE-2025-53521 reclassifiée en Remote Code Execution critique. Ces avis s'ajoutent aux alertes déjà émises sur Fortinet FortiClient. Pour les entités soumises à NIS 2 (Art. 21) et au RGPD (Art. 32), l'application des correctifs dans les délais recommandés constitue une obligation de moyens dont le non-respect peut être retenu lors d'un contrôle ou en cas de violation de données consécutive.

Ce que ça change pour vous — Appliquez en priorité les correctifs CERT-FR du 3 avril sur vos instances Linux, OpenSSH et VMware, et vérifiez l'exposition de vos équipements F5 BIG-IP APM à la CVE-2025-53521. Actualité cybersécurité 2026 : NIS2, CRA, ANSSI

5 avril 2026 — CERT-EU : 92 Go exfiltrés de la Commission européenne via supply chain

Le CERT-EU a attribué avec un niveau de confiance élevé la violation de données de la Commission européenne au groupe TeamPCP, via une compromission de type supply chain de l'outil open source Trivy. L'attaque a permis l'exfiltration de 92 gigaoctets de données depuis l'infrastructure AWS hébergeant la plateforme Europa.eu, affectant au moins 29 entités de l'Union européenne. Cet incident illustre la criticité des risques liés à la chaîne d'approvisionnement logicielle, un axe central du Cyber Resilience Act (CRA) et de la directive NIS 2 (Art. 21). Il souligne également les obligations de notification au titre de l'Art. 33 du RGPD pour les données personnelles potentiellement compromises. La CNIL et ses homologues européens suivent l'affaire en coordination avec le CERT-EU.

Ce que ça change pour vous — Auditez immédiatement vos dépendances open source et vos outils de CI/CD pour identifier les composants tiers susceptibles de constituer un vecteur d'attaque supply chain. Notification violation données CNIL : procédure 72h — Sous-traitance sécurité : exigences NIS2 et RGPD pour la chaîne

4 avril 2026 — Avis 4/2026 : CEPD demande un guichet unique NIS2/RGPD

Le 18 mars 2026, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD) ont adopté l'avis conjoint 4/2026 sur la proposition de règlement Cybersecurity Act 2 (CSA2) et la proposition d'amendements à la directive NIS 2. Les deux autorités soutiennent le renforcement du rôle de l'ENISA et l'instauration d'un guichet unique pour les notifications d'incidents de sécurité, visant à harmoniser les obligations fragmentées entre NIS 2, DORA et le RGPD. L'avis souligne la contradiction des délais actuels : l'article 33 du RGPD impose une notification à l'autorité de contrôle sous 72 heures, tandis que l'article 23 de NIS 2 prévoit une alerte précoce sous 24 heures pour le même incident. Cette dualité génère une charge de conformité excessive pour les entités soumises aux deux régimes. Le CEPD et le CEPD demandent une harmonisation des processus pour éviter les doubles déclarations et alléger la charge administrative sans réduire le niveau de protection.

Ce que ça change pour vous — Si votre organisation est soumise à la fois au RGPD et à NIS 2, mappez dès maintenant vos procédures de notification d'incidents en anticipant une possible convergence des délais vers un guichet unique. Actualité NIS2 2026 : directive cybersécurité européenne

4 avril 2026 — ANSSI publie ReCyF : le référentiel opérationnel NIS 2 en France

Le 17 mars 2026, l'ANSSI a publié le Référentiel Cyber France (ReCyF) en version document de travail, lors d'un événement réunissant au Campus Cyber les acteurs institutionnels, sectoriels et publics concernés par la directive NIS 2. ReCyF liste les mesures de sécurité recommandées pour atteindre les objectifs fixés par NIS 2 et oriente sur les bonnes pratiques associées. Il intègre un principe de proportionnalité : le niveau d'effort attendu est adapté à la maturité de l'entité et aux ressources disponibles. L'ANSSI met également à disposition un outil de comparaison permettant aux entités de mettre en parallèle ReCyF avec d'autres référentiels (ISO 27001, NIS 1, DORA, etc.). Ce référentiel demeure un document de travail : aucune version définitive ne sera publiée avant l'adoption des textes législatifs et réglementaires de transposition de NIS 2 en droit français, attendue en deuxième lecture au Parlement courant juillet 2026. Cette obligation NIS 2 rejoint l'article 32 du RGPD, qui impose déjà aux responsables de traitement des mesures techniques et organisationnelles adaptées au risque.

Ce que ça change pour vous — Téléchargez ReCyF sur cyber.gouv.fr et utilisez l'outil de comparaison pour évaluer l'écart entre votre dispositif de sécurité actuel et les attentes NIS 2, en anticipant la version définitive attendue après la transposition. Actualité NIS2 2026 : directive cybersécurité européenne — Actualité cybersécurité 2026 : NIS2, CRA, ANSSI

24 mars 2026 — CNOUS : 774 000 étudiants victimes d'une fuite, documents d'identité volés

Le Centre national des œuvres universitaires et scolaires (Cnous) a révélé le 24 mars 2026 que la plateforme mesrdv.etudiant.gouv.fr avait été compromise par le groupe DumpSec. Sur 774 000 personnes concernées, 635 000 ont vu leurs données courantes (nom, prénom, e-mail, objet et date du rendez-vous) exfiltrées. Pour 139 000 étudiants, les pièces jointes de leurs dossiers — copies de carte d'identité et passeport — ont également été dérobées. Des signalements ont été effectués auprès de l'ANSSI et de la CNIL, une plainte pénale déposée et l'accès à la plateforme suspendu. Chaque personne concernée sera notifiée individuellement conformément à l'Art. 34 RGPD. L'incident illustre le risque spécifique lié aux pièces jointes (documents d'identité) stockées dans des systèmes de prise de rendez-vous dont le niveau de protection doit être équivalent à celui des données sensibles qu'elles contiennent (Art. 5(1)(f) RGPD — intégrité et confidentialité).

Vérifiez le chiffrement des pièces jointes et les contrôles d'accès aux dépôts de fichiers, et simulez votre procédure de notification de violation sous 72 h (Art. 33 RGPD). Fuite de données : procédure de gestion et notification RGPD — DORA et RGPD : gérer les incidents de données personnelles

17 mars 2026 — ANSSI lance le ReCyF : référentiel de conformité NIS 2 en version travail

L'ANSSI a publié le 17 mars 2026 la version document de travail du Référentiel Cyber France (ReCyF), outil d'accompagnement à la mise en conformité avec la directive NIS 2. Le ReCyF liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2 et intègre un principe de proportionnalité adapté à la maturité de chaque entité. Son application reste volontaire, mais les entités s'y conformant pourront s'en prévaloir lors des contrôles ANSSI. Un outil de comparaison avec d'autres référentiels (ISO 27001, SecNumCloud, NIST…) est mis à disposition. La transposition du décret NIS 2 définissant les mesures techniques serait repoussée à juillet 2026. Opérationnellement, le ReCyF impose de documenter les mesures de gestion du risque cyber par rapport aux objectifs de sécurité définis — démarche qui rejoint l'Art. 32 du RGPD pour les traitements de données personnelles inclus dans le périmètre des entités concernées.

Téléchargez le ReCyF sur cyber.gouv.fr, comparez-le à vos référentiels et lancez votre auto-évaluation NIS 2. Actualité NIS2 2026 — Actualité cybersécurité 2026

3 avril 2026 — Fortinet FortiClient et F5 BIG-IP : failles critiques exploitées, patch urgent

Deux vulnérabilités critiques font l'objet d'exploitation active. Une faille dans Fortinet FortiClient EMS permet à des attaquants d'accéder aux réseaux d'entreprise sans autorisation. Parallèlement, F5 a reclassifié une vulnérabilité BIG-IP APM en exécution de code à distance (RCE) critique — des webshells sont déjà déployés sur des appareils non corrigés selon les chercheurs. Ces produits sont largement présents dans les infrastructures des entités essentielles et importantes au sens de NIS 2. L'Art. 21 de la directive NIS 2 impose des mesures techniques proportionnées incluant la gestion des correctifs de sécurité. L'obligation de patch rapide s'applique dès lors qu'une vulnérabilité activement exploitée est connue. Voir notre guide de gestion des vulnérabilités et la checklist NIS 2.

Ce que ça change pour vous : les entités NIS 2 utilisant Fortinet FortiClient EMS ou F5 BIG-IP doivent appliquer les correctifs de sécurité immédiatement et analyser leurs journaux d'accès pour détecter une éventuelle compromission. Gestion des vulnérabilités : processus conforme NIS 2 / CRA — Conformité NIS 2 : checklist des 10 mesures obligatoires

2 avril 2026 — Fuite de données du SIA : un pirate accède aux adresses des détenteurs d'armes

Un pirate informatique a exfiltré des données du Système d'Information sur les Armes (SIA), géré par le ministère de l'Intérieur. La fuite comprend les types d'armes détenus mais aussi les adresses personnelles des propriétaires, soit des données particulièrement sensibles au regard de la sécurité physique des personnes. Le ministère a confirmé la violation et notifié les personnes concernées par courrier. Cette fuite constitue une violation de données personnelles au sens de l'art. 33 du RGPD et impose une notification à la CNIL dans les 72 heures. Voir notre guide complet sur la notification de violation de données et la procédure de gestion des fuites.

Ce que ça change pour vous : toute entité traitant des données sensibles doit vérifier ses mesures de sécurité et ses procédures de notification en cas de violation. Notification violation données CNIL : procédure 72h — Fuite de données : procédure de gestion et notification RGPD

2 avril 2026 — Forum InCyber 2026 : le Cesin publie un livre blanc sur l'autonomie numérique

La 18e édition du Forum InCyber, qui s'est tenue du 31 mars au 2 avril 2026 à Lille Grand Palais, a réuni 6 570 décisionnaires (+13 % par rapport à 2024) autour du thème « Maîtriser nos dépendances numériques ». Parmi les interventions marquantes, la présidente de la CNIL Marie-Laure Denis, le fondateur d'OVHcloud Octave Klaba et la vice-présidente exécutive de la Commission européenne Henna Virkkunen ont insisté sur la nécessité de renforcer la souveraineté technologique de l'Europe. Le Cesin a dévoilé un livre blanc proposant des mesures concrètes pour rendre opérationnelle l'autonomie numérique du continent, notamment face au risque de « kill-switch américain » — la possibilité pour un fournisseur cloud étranger de couper l'accès à ses services. Ce débat s'inscrit dans le prolongement direct des obligations NIS 2 et DORA en matière de gestion des risques liés aux prestataires TIC.

Ce que ça change pour vous — évaluez vos dépendances à des fournisseurs cloud extra-européens dans le cadre de vos analyses de risques NIS 2 et DORA.

2 avril 2026 — CRA : consultation close, premières obligations dès septembre 2026

La consultation publique ouverte le 3 mars 2026 par la Commission européenne sur les lignes directrices d'application du Cyber Resilience Act s'est clôturée le 31 mars 2026. Ce document non contraignant clarifie des points clés du règlement : qualification des solutions de traitement de données à distance, statut des logiciels libres et open source, notion de « périodes de support », et articulation du CRA avec les autres législations européennes. Deux échéances réglementaires imminentes : au 11 juin 2026, les autorités notifiantes doivent avoir établi les procédures d'évaluation et de désignation des organismes de conformité ; au 11 septembre 2026, les fabricants de produits connectés seront soumis à l'obligation de signalement des vulnérabilités activement exploitées (rapport initial sous 24 h, compléments sous 72 h, rapport final sous 14 jours). L'ensemble des obligations du CRA s'appliquera au 11 décembre 2027.

Ce que ça change pour vous — les fabricants et éditeurs doivent dès maintenant structurer leur processus de signalement de vulnérabilités pour être prêts au 11 septembre 2026. Cyber Résilience Act (CRA) : guide complet — CRA : qui est concerné ? — SBOM : nomenclature logicielle imposée par le CRA

2 avril 2026 — Baromètre InCyber 2026 : 8 613 violations notifiées, +45 % en un an

Le Baromètre des fuites de données personnelles 2026, élaboré en partenariat avec la CNIL et présenté au Forum InCyber à Lille, recense 8 613 violations de données personnelles notifiées entre septembre 2024 et septembre 2025 — soit une hausse de 45 % par rapport à l'année précédente. Rapporté au quotidien, cela représente près de 24 incidents déclarés par jour. Le nombre d'individus potentiellement exposés passe de 8 à 12 millions. Les incidents d'origine intentionnelle progressent de plus de 60 %, portés par la généralisation du phishing, le vol d'identifiants et les attaques sur des prestataires mutualisés ou des éditeurs SaaS. Les secteurs les plus touchés restent la finance et assurance, la santé et l'action sociale, et les activités scientifiques et techniques. Cette tendance confirme l'industrialisation du cybercrime et renforce la pression sur les obligations de notification prévues par les articles 33 et 34 du RGPD.

Ce que ça change pour vous — vérifiez que votre procédure de notification de violation est opérationnelle sous 72 heures et que votre registre des violations (Art. 33(5) RGPD) est à jour. C'est le type de risque que Legiscope permet de suivre en temps réel grâce à son module de gestion des violations de données. Gérer les violations de données personnelles conformément au RGPD — Fuite de données : procédure de gestion et notification RGPD

18 mars 2026 — EDPB-EDPS : avis conjoint sur le Cybersecurity Act 2 et la révision NIS 2

Le 18 mars 2026, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD) ont adopté l'avis conjoint 4/2026 sur la proposition de règlement Cybersecurity Act 2 (CSA2) et la proposition d'amendements à la directive NIS 2. Les deux autorités soutiennent le renforcement du rôle de l'ENISA et l'introduction d'un point d'entrée unique pour les notifications d'incidents de sécurité, mesure visant à harmoniser les obligations de déclaration fragmentées entre NIS 2, DORA et le RGPD. L'avis demande expressément une plus grande harmonisation entre les régimes de notification d'incidents, soulignant que l'Art. 33 RGPD (notification à l'autorité de contrôle sous 72 h) et l'Art. 23 NIS 2 (notification précoce sous 24 h) imposent des délais distincts pour un même incident. L'avis salue également la désignation des fournisseurs de portefeuilles numériques européens (eIDAS 2) comme entités essentielles au titre de NIS 2. Sur le plan opérationnel, la création d'un guichet unique d'incident réduirait la charge administrative des organisations soumises à plusieurs régimes simultanément (NIS 2 + RGPD + DORA).

Ce que ça change pour vous : anticipez la convergence des obligations de notification d'incidents NIS 2, RGPD et DORA en documentant dès maintenant un processus unifié de gestion des incidents. Directive NIS2 : guide complet — Actualité NIS2 2026

31 mars 2026 — UE : boîte à outils pour la sécurité des chaînes d'approvisionnement TIC

Le groupe de coopération NIS, composé des représentants des États membres, de la Commission européenne et de l'ENISA, a adopté le 13 février 2026 une boîte à outils européenne (EU ICT Supply Chain Security Toolbox) pour la sécurité des chaînes d'approvisionnement TIC. Ce cadre fournit une approche commune pour identifier, évaluer et atténuer les risques de cybersécurité liés aux chaînes d'approvisionnement, en recommandant notamment le recours à des stratégies multi-fournisseurs et la réduction des dépendances vis-à-vis des fournisseurs à haut risque. La boîte à outils est accompagnée de deux évaluations de risques sectorielles : véhicules connectés et autonomes, et équipements de détection. Cette obligation rejoint les exigences de l'article 21 de la directive NIS2 en matière de gestion des risques de la chaîne d'approvisionnement.

Intégrez cette boîte à outils dans votre processus de gestion des risques fournisseurs, en particulier si vous êtes entité essentielle ou importante au sens de NIS2. Sous-traitance sécurité : exigences NIS2 et RGPD

30 mars 2026 — Europa.eu : Commission confirme violation de données (ShinyHunters)

La Commission européenne a confirmé le 30 mars 2026 une violation de données affectant la plateforme Europa.eu, piratée par le groupe ShinyHunters. La Commission indique avoir détecté l'incident et pris des mesures de confinement, tout en minimisant l'impact sur ses systèmes internes. Des données appartenant à des entités institutionnelles de l'UE pourraient avoir été exfiltrées. La Commission a notifié les organisations dont les données sont potentiellement compromises. Cet incident illustre que les obligations de l'article 33 du RGPD (notification à l'autorité de contrôle dans les 72 heures) s'appliquent également aux institutions européennes soumises au règlement 2018/1725. Le groupe ShinyHunters est connu pour des attaques à grande échelle suivies de tentatives d'extorsion.

Vérifiez si votre organisation a des accès ou des données hébergées sur des portails Europa.eu et documentez toute exposition potentielle dans votre registre des violations. Fuite de données : procédure de gestion et notification RGPD — Sécurité des données personnelles : les obligations de l'article 32 du RGPD

31 mars 2026 — Forum InCyber 2026 : dépendances numériques et souveraineté au cœur

Le Forum InCyber 2026 ouvre ses portes à Lille ce 31 mars, avec pour thème central les dépendances numériques. Pour les DSI et RSSI, l'édition 2026 place la question de la résilience au-delà du périmètre organisationnel : il s'agit d'identifier les points d'appui externes qui conditionnent la cybersécurité. L'ANSSI sera présente pour y promouvoir ses référentiels NIS 2 (ReCyF) et ses programmes d'accompagnement. Le Forum InCyber est l'un des événements européens de référence en cybersécurité, réunissant décideurs publics, industriels, experts et autorités de régulation. La thématique des dépendances numériques résonne directement avec les obligations de gestion des risques liés aux tiers, telles que définies à l'article 21(2)(d) de la directive NIS 2 et à l'article 28 RGPD pour les sous-traitants.

Consultez les publications et prises de position diffusées pendant le Forum InCyber 2026 pour mettre à jour votre veille réglementaire NIS 2 et votre analyse de risques liés aux tiers. Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Actualité NIS2 2026

30 mars 2026 — Cybermalveillance 2025 : 504 000 demandes, cyberharcèlement ×3 chez les pros

Cybermalveillance.gouv.fr publie son rapport d'activité 2025 : la plateforme nationale d'assistance a enregistré plus de 504 000 demandes, émanant de particuliers, d'entreprises et de collectivités. Fait marquant : les demandes pour cyberharcèlement triplent chez les publics professionnels, signe d'une évolution des menaces vers des vecteurs socio-numériques. Les ransomwares demeurent la principale menace pesant sur les entreprises et les collectivités, bien que le rapport invite à relativiser les chiffres bruts du fait de recoupements entre catégories d'incidents. La fraude au conseiller bancaire et le piratage de messagerie restent des vecteurs d'attaque majeurs. Ce rapport est un baromètre clé pour apprécier le contexte de menace que NIS 2 cherche à adresser (Art. 21 NIS2 : mesures de gestion des risques cyber), et donne des arguments concrets pour justifier l'investissement en sécurité auprès des directions générales. Ces chiffres viennent compléter le Panorama de la cybermenace 2025 de l'ANSSI publié en mars dernier.

Utilisez les données du rapport Cybermalveillance 2025 pour documenter votre analyse de risque NIS 2 et sensibiliser vos équipes aux menaces réelles en France. Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Actualité cybersécurité 2026

16 mars 2026 — Santé numérique : décret mars 2026 instaure sanctions pour éditeurs

Un décret du 3 mars 2026, pris en application de l'article L1470-6 du Code de la santé publique, instaure un régime de contrôles et de sanctions à l'encontre des éditeurs de services numériques en santé en cas de non-respect des référentiels de sécurité, d'interopérabilité et d'éthique applicables. Selon DSIH (16 mars 2026), ce décret « discret mais potentiellement douloureux » introduit des mécanismes d'audit et des sanctions administratives pour les éditeurs ne respectant pas le cadre de l'Espace Numérique de Santé (ENS) et de l'ANS. Sur le plan RGPD, ce décret croise directement les obligations de l'article 32 (mesures de sécurité) et les exigences d'une AIPD pour les systèmes traitant des données de santé (catégorie sensible, Art. 9 RGPD). Cette obligation rejoint l'article 32 du RGPD sur la sécurité des systèmes traitant des données de santé. Les éditeurs de logiciels de santé (DMP, messagerie sécurisée, télémédecine) doivent vérifier leur alignement avec les référentiels ANS en vigueur.

Pour les éditeurs de services numériques en santé : vérifier la conformité aux référentiels ANS avant tout contrôle administratif. Sécurité des données personnelles : Art. 32 RGPD

12 mars 2026 — CRA : guide DGE et aide de 30 000 € pour la conformité des PME

La Direction générale des Entreprises (DGE) a publié un guide pratique sur ce que le Cyber Resilience Act (CRA) change pour les entreprises et comment s'y préparer (mars 2026). Un dispositif de financement pouvant atteindre 30 000 euros est également disponible pour accompagner les PME dans leur mise en conformité CRA (Solutions-Numeriques). Le CRA impose aux fabricants de produits numériques connectés de garantir la sécurité tout au long du cycle de vie, de gérer les vulnérabilités et d'assurer les mises à jour de sécurité, avec un marquage CE obligatoire exigible en décembre 2027. Les obligations clés incluent une politique de gestion des vulnérabilités, la notification des incidents aux CSIRT nationaux (Art. 14 CRA), et la fourniture d'une nomenclature des composants logiciels (SBOM). L'intersection avec le RGPD est directe pour les produits traitant des données personnelles : les obligations CRA rejoignent l'article 25 RGPD (privacy by design) et l'article 32 RGPD.

Évaluer si vos produits numériques entrent dans le périmètre CRA et consulter le guide DGE pour identifier les obligations applicables à votre catégorie de produit. CRA : qui est concerné ? — Support sécurité des produits numériques — CRA et RGPD : intersection

19 mars 2026 — NIS2 : l'ANSSI déploie ReCyF et impose le tempo de la conformité

L'ANSSI a déployé sa plateforme ReCyF (Référentiel de Cybersécurité Française) qui structure et cadence la mise en conformité NIS2 pour les entités essentielles et importantes. Selon Solutions-Numeriques (19 mars 2026), ReCyF impose un calendrier de conformité avec des jalons et des niveaux de maturité attendus. Les obligations NIS2 couvrent la gouvernance de la cybersécurité, la gestion des risques, la notification des incidents (Art. 21 et 23 NIS2), et la sécurité de la chaîne d'approvisionnement. L'intersection avec le RGPD est explicite : une violation de sécurité notifiable au titre de NIS2 peut simultanément constituer une violation de données à notifier à la CNIL sous 72 heures (Art. 33 RGPD). Cette obligation NIS2 rejoint ainsi l'article 32 du RGPD sur la sécurité des systèmes d'information. Les entités des secteurs hautement critiques doivent prioriser leur enrôlement sur ReCyF.

Vérifier votre éligibilité et vous enrôler sur la plateforme ReCyF de l'ANSSI pour structurer votre calendrier de conformité NIS2. Actualité NIS2 2026

19 mars 2026 — L'ANSSI publie le référentiel ReCyF pour anticiper NIS 2

L'ANSSI a publié son référentiel ReCyF (Référentiel Cyber Fondamental), un cadre de bonnes pratiques destiné aux organisations qui seront soumises à la directive NIS 2. Ce référentiel permet aux entreprises de commencer leur mise en conformité sans attendre la transposition définitive de la directive en droit français. Le ReCyF définit des mesures de cybersécurité fondamentales couvrant la gouvernance, la protection, la détection et la réponse aux incidents. L'ANSSI a publié ce référentiel alors que la CSNP (Commission supérieure du numérique et des postes) s'impatiente publiquement du retard pris par la transposition française. Ce document constitue la première pierre opérationnelle de l'écosystème NIS 2 français et permet aux organisations d'évaluer leur niveau de maturité cyber.

Utilisez le référentiel ReCyF de l'ANSSI pour initier votre mise en conformité NIS 2 dès maintenant. Directive NIS2 : guide complet des nouvelles obligations

13 mars 2026 — La CNIL publie ses recommandations sur les proxys web filtrants

La CNIL a publié le 13 mars 2026 une recommandation destinée à accompagner les utilisateurs et les fournisseurs de serveurs mandataires web filtrants (proxys filtrants) dans leur mise en conformité au RGPD. Ces dispositifs, largement déployés en entreprise pour la cybersécurité, interceptent et analysent le trafic web des salariés, ce qui implique un traitement de données personnelles. La CNIL rappelle que ces solutions doivent être conformes au RGPD tant dans leur usage que dès leur conception (privacy by design, Art. 25 RGPD). La recommandation précise les bases légales applicables, les mesures de minimisation des données et les obligations d'information des salariés. Cette publication s'inscrit dans la volonté de la CNIL de promouvoir des solutions de cybersécurité respectueuses de la vie privée.

Vérifiez la conformité RGPD de vos proxys web filtrants à l'aide de cette nouvelle recommandation CNIL. RGPD et sécurité : les mesures techniques et organisationnelles

24 mars 2026 — Vague de violations massives dans le secteur éducatif français

Trois violations majeures de données frappent le secteur éducatif français en une semaine. Le CNOUS a subi le piratage d'un de ses systèmes d'information, exposant les données personnelles de 774 000 étudiants ou anciens étudiants. Parallèlement, le ministère de l'Éducation nationale a révélé le 23 mars qu'une intrusion dans son système RH « Compas » a compromis les données de 243 000 agents enseignants stagiaires. Enfin, le Secrétariat général de l'Enseignement catholique a été victime d'une cyberattaque exposant les données administratives de 1,5 million de personnes. Au total, plus de 2,5 millions de personnes sont concernées. Ces incidents démontrent la vulnérabilité des systèmes d'information du secteur public éducatif et rappellent l'obligation de notification à la CNIL dans les 72 heures (Art. 33 RGPD).

Vérifiez immédiatement vos procédures de notification de violation et la sécurité de vos systèmes RH et de gestion des étudiants. Fuite de données : procédure de gestion et notification RGPD — RGPD et sécurité : les mesures techniques et organisationnelles

11 mars 2026 — Panorama de la cybermenace 2025 : l’ANSSI confirme l’intensification des attaques

L’ANSSI publie son Panorama de la cybermenace 2025, qui confirme l’intensification des attaques par rançongiciel et l’émergence de menaces liées à l’IA générative. Les secteurs les plus ciblés restent la santé, les collectivités territoriales et les PME. Le rapport souligne que NIS2 arrive à point nommé pour structurer la réponse des entités essentielles et importantes. L’impact RGPD est direct : chaque cyberattaque réussie peut constituer une violation de données à notifier (art. 33-34 RGPD).

Ce que ça change pour vous : intégrez les indicateurs de menace du panorama ANSSI dans votre analyse de risques et vérifiez votre procédure de notification de violation. NIS2 : entites essentielles vs entites importantes -- differences, obligations et consequences — Notification de cyberattaque : qui prevenir, quand et comment

8 janvier 2026 — L’ANSSI renforce le dispositif national de cybersécurité avec les CSIRT régionaux

L’ANSSI annonce le renforcement du dispositif national de cybersécurité, avec la montée en puissance des CSIRT régionaux. Ces centres de réponse aux incidents cyber couvrent désormais l’ensemble du territoire et offrent un accompagnement de proximité aux collectivités et PME. Le dispositif s’inscrit dans la transposition de NIS2 : les entités essentielles et importantes pourront s’appuyer sur ces structures pour la gestion de leurs incidents.

Ce que ça change pour vous : les PME et collectivités disposent désormais d’un point de contact cyber de proximité. Vérifiez quel CSIRT couvre votre région. NIS2 : entites essentielles vs entites importantes -- differences, obligations et consequences — Gestion des incidents de securite : plan de reponse et procedure