Actualité cybersécurité 2026 : NIS2, CRA, ANSSI

15 avril 2026 — FBI : intrusion Salt Typhoon classée « incident majeur »

Le FBI a officiellement qualifié d'« incident majeur » l'intrusion détectée en février 2026 sur son réseau DCSNet (Digital Collection System Network), le système utilisé pour gérer les écoutes judiciaires et les demandes de surveillance. L'attaque, attribuée au groupe Salt Typhoon lié au ministère chinois de la Sécurité d'État, a permis l'accès à des données sensibles d'enquête, notamment les numéros de téléphone de cibles sous surveillance. Le Congrès américain a été notifié conformément à la loi de 2014 sur les incidents cyber majeurs. Les attaquants auraient exploité l'infrastructure d'un fournisseur d'accès Internet commercial pour contourner les contrôles de sécurité du FBI. Cet incident illustre la menace persistante des attaques étatiques sur les infrastructures critiques de renseignement.

Ce que ça change pour vous : cet incident rappelle l'importance critique de la sécurisation des chaînes de sous-traitance, un enjeu central de NIS2 pour les opérateurs d'infrastructures essentielles.

13 avril 2026 — Adobe Acrobat Reader : zero-day CVE-2026-34621 exploité depuis décembre 2025

Adobe a publié un correctif d'urgence le 12 avril 2026 (bulletin APSB26-43) pour une vulnérabilité critique (CVSS 8.6) dans Acrobat et Reader, activement exploitée depuis décembre 2025. La faille, de type prototype pollution, permet l'exécution de code arbitraire à l'ouverture d'un simple fichier PDF piégé. Le chercheur Haifei Li (EXPMON) décrit un exploit sophistiqué utilisant du JavaScript obfusqué pour exfiltrer des données sensibles et télécharger des charges utiles supplémentaires. Toute organisation utilisant Acrobat Reader doit appliquer le correctif immédiatement : l'exploitation ne nécessite aucune interaction complexe de la part de l'utilisateur, ce qui en fait un vecteur d'attaque particulièrement dangereux pour les postes de travail manipulant des documents PDF.

Ce que ça change pour vous : appliquez immédiatement la mise à jour Adobe Acrobat/Reader et sensibilisez vos équipes à ne pas ouvrir de PDF d'origine inconnue. Sécurité des données personnelles : les obligations de l'article 32 du RGPD — Support sécurité des produits numériques : les obligations de mises à jour

12 avril 2026 — Juniper Networks : faille CVSS 9.8, prise de contrôle totale

Le CERT-FR a publié l'avis CERTFR-2026-AVI-0416 concernant plusieurs vulnérabilités critiques dans les produits Juniper Networks. La plus grave, CVE-2026-33784 (CVSS 9.8), affecte les appliances Support Insights Virtual Lightweight Collector (vLWC) et permet à un attaquant non authentifié d'obtenir un accès administrateur complet via des identifiants par défaut. Une seconde faille, CVE-2026-21902, touche les routeurs PTX Series sous Junos OS Evolved et permet une élévation de privilèges jusqu'à root. D'autres vulnérabilités affectent les pare-feux SRX (crash du processus srxpfe via ICMPv6 malformé) et les FPC des PTX Series. Juniper a publié des correctifs pour l'ensemble de ces failles. Les entités soumises à NIS2 doivent prioriser le déploiement de ces patchs sur leurs équipements réseau critiques.

Ce que ça change pour vous : vérifiez immédiatement si vos équipements Juniper utilisent des identifiants par défaut et appliquez les correctifs CERTFR-2026-AVI-0416 en priorité. Directive NIS2 : guide complet des nouvelles obligations — Conformité NIS2 : checklist des 10 mesures obligatoires — Gestion des vulnérabilités : processus conforme au CRA

12 avril 2026 — Synergy France visée par un ransomware : risque de compromission en cascade

Synergy France, spécialiste de la gestion, de la transformation et de la gouvernance des données en environnement cloud, est victime d'une attaque par ransomware signalée le 6 avril 2026. L'entreprise accompagne de nombreux clients sur des projets critiques liés au traitement de données, ce qui pose la question d'une compromission en cascade des données confiées par ses clients. À ce stade, l'ampleur exacte de l'exfiltration n'est pas connue. Ce type d'incident rappelle l'obligation des responsables de traitement de s'assurer contractuellement et opérationnellement de la sécurité de leurs sous-traitants (art. 28 RGPD). Les clients de Synergy doivent vérifier s'ils sont concernés et, le cas échéant, procéder à une notification à la CNIL dans le délai de 72 heures prévu par l'article 33 du RGPD.

Ce que ça change pour vous : si vous êtes client de Synergy France, contactez votre interlocuteur pour évaluer l'impact sur vos traitements et préparez une éventuelle notification CNIL. RGPD et cloud : obligations AWS, Azure, GCP — Notification violation données CNIL : procédure 72h — Sous-traitance sécurité : exigences NIS2 et RGPD

12 avril 2026 — Secure Boot : certificats Microsoft expirent en juin 2026

Le CERT-FR a publié une alerte (CERTFR-2026-ACT-014) signalant l'expiration imminente de trois certificats Microsoft essentiels au démarrage sécurisé (Secure Boot) des machines Windows. Les certificats Microsoft Corporation KEK CA 2011 et Microsoft UEFI CA 2011 expirent respectivement les 24 et 27 juin 2026. Un quatrième certificat (Windows Production PCA 2011) expire le 19 octobre 2026.

Sans mise à jour vers les nouveaux certificats émis en 2023, les systèmes ne pourront plus recevoir les correctifs de sécurité relatifs au processus de démarrage, ni valider les logiciels tiers signés avec les nouvelles clés. Microsoft déploie progressivement les mises à jour via les correctifs mensuels cumulatifs (KB5077181), mais les organisations doivent vérifier le déploiement effectif sur l’ensemble de leur parc, y compris les postes hors réseau ou en mise à jour différée.

Cette obligation de maintien en conditions de sécurité s’inscrit directement dans les exigences de l’article 21 de la directive NIS 2 et les bonnes pratiques de gestion des vulnérabilités recommandées par l’ANSSI.

Ce que ça change pour vous : vérifiez dès maintenant le déploiement des certificats Secure Boot 2023 sur l'ensemble de votre parc Windows avant l'échéance de juin 2026. Actualité cybersécurité 2026 : NIS2, CRA, ANSSI — Authentification forte (MFA) : obligations légales et mise en œuvre — Plan de continuité d'activité (PCA) : guide complet

11 avril 2026 — Santé : 35 millions de patients exposés, 130 hôpitaux compromis

Le groupe DumpSec revendique le piratage des Agences Régionales de Santé (ARS) et la mise en vente d'une base contenant les données de 35 millions de patients français. Plus de 130 hôpitaux sont concernés, principalement dans le Nord-Pas-de-Calais, en Normandie et en Auvergne-Rhône-Alpes, incluant des établissements de l'AP-HP. Les données exposées comprennent l'identité complète (nom, prénom, sexe, date de naissance), les numéros de sécurité sociale, les coordonnées (adresse, e-mail, téléphone) ainsi que des données de suivi hospitalier. L'attaque initiale remonte à septembre 2025 sur les systèmes des ARS, mais la mise en vente des données a été constatée début avril 2026.

Ce que ça change pour vous — Les établissements de santé doivent vérifier immédiatement si leurs systèmes sont concernés et notifier la CNIL dans les 72 heures si une violation est confirmée. Fuites de données : obligations RGPD — Sous-traitant RGPD : obligations

11 avril 2026 — Commission européenne : 340 Go de données volées, 30 entités UE touchées

CERT-EU a attribué la cyberattaque contre l'infrastructure cloud de la Commission européenne au groupe TeamPCP. Les pirates ont exploité une attaque par chaîne d'approvisionnement visant l'outil open source Trivy, utilisé par la Commission pour sa sécurité. En téléchargeant une version compromise de Trivy le 19 mars, la Commission a involontairement exposé une clé API secrète liée à son compte AWS. Les attaquants ont ensuite exfiltré environ 340 Go de données, incluant des noms, adresses e-mail et contenus de courriels. Le groupe ShinyHunters a ensuite publié ces données en ligne. Au total, les données d'au moins 30 entités européennes ont été compromises, avec 52 000 fichiers contenant des messages envoyés.

Ce que ça change pour vous — Auditez vos dépendances open source et vérifiez que vos clés API cloud ne sont pas exposées dans vos pipelines CI/CD. AWS et RGPD : conformité cloud — Sous-traitance sécurité : exigences NIS2 et RGPD — Fuites de données : obligations RGPD

10 avril 2026 — Ymed : 253 000 dossiers patients exposés, données médicales en fuite

Le groupe XP95 a revendiqué le piratage de Ymed, entreprise bordelaise spécialisée dans les solutions numériques pour la santé. La fuite, signalée le 5 avril 2026, concerne plus de 253 000 patients avec 132 Go de données exposées, incluant identités complètes, documents médicaux et prescriptions. Les données de santé bénéficient d'une protection renforcée au titre de l'article 9 du RGPD en tant que catégories particulières. L'ampleur de cette violation — tant par le volume que par la sensibilité des données — place Ymed face à des obligations de notification immédiate auprès de la CNIL et des personnes concernées. Cette fuite s'inscrit dans un contexte de multiplication des attaques contre le secteur de la santé en France.

Ce que ça change pour vous — les sous-traitants de santé doivent vérifier la conformité de leurs mesures de sécurité techniques (chiffrement, segmentation réseau) et tester leurs procédures de notification de violation. Notification violation données CNIL : procédure 72h — Sécurité des données : obligations de l'article 32 RGPD

10 avril 2026 — Éducation nationale : 243 000 agents exposés via une intrusion COMPAS

Le ministère de l'Éducation nationale a confirmé un incident de sécurité majeur : le 15 mars 2026, un accès frauduleux via un compte externe compromis a permis l'exfiltration de données personnelles d'environ 243 000 agents (stagiaires et titulaires) depuis le système COMPAS, dédié à la gestion des stagiaires. Le COSSIM (Centre opérationnel de sécurité du ministère) a été alerté le 19 mars. L'ANSSI et la CNIL ont été saisies, et un dépôt de plainte est en cours. Le ministère appelle ses agents à la vigilance face aux tentatives de phishing et d'usurpation d'identité. Cet incident illustre les risques persistants liés à la compromission de comptes dans les systèmes d'information publics.

Ce que ça change pour vous — les établissements publics utilisant des systèmes RH similaires doivent auditer leurs accès externes et renforcer l'authentification multi-facteurs. Fuite de données : procédure de gestion et notification RGPD — Sécurité des données : obligations de l'article 32 RGPD

10 avril 2026 — AlumnForce : 2,7 millions de profils d'étudiants et diplômés exposés

La plateforme AlumnForce, utilisée par les réseaux alumni de nombreuses universités et grandes écoles françaises, a subi une violation de données massive le 6 avril 2026. Environ 2,7 millions de profils ont été compromis, incluant des données professionnelles sensibles : parcours de carrière, souhaits d'emploi, fourchettes de rémunération, compétences et coordonnées. La base contient plus de 1,8 million d'adresses email uniques et 650 000 numéros de téléphone. Un acteur malveillant affirme mettre en vente cette base, couvrant des diplômes de 1901 à 2026. Les établissements concernés (dont l'ICN et l'Université de Strasbourg) ont notifié la CNIL. Le risque principal réside dans les attaques d'ingénierie sociale ciblées : phishing aux couleurs de réseaux alumni, faux recruteurs exploitant les données de carrière.

Ce que ça change pour vous — vérifiez si votre établissement utilise AlumnForce comme sous-traitant et, le cas échéant, exigez le détail de la notification au titre de l'article 33 du RGPD. Fuite de données : procédure de gestion et notification RGPD — Notification violation données CNIL : procédure 72h — Article 28 RGPD : Contrat Sous-Traitant et Obligations

10 avril 2026 — Axios npm compromis : RAT nord-coréen, 100 M téléchargements/semaine

Le 30 mars 2026, des acteurs nord-coréens liés au groupe Sapphire Sleet (UNC1069) ont compromis le compte npm du mainteneur principal d'Axios — bibliothèque HTTP parmi les plus téléchargées au monde — via une opération d'ingénierie sociale ciblée. Deux versions malveillantes ont été publiées en 39 minutes (axios@1.14.1 et axios@0.30.4), injectant la dépendance frauduleuse plain-crypto-js@4.2.1, dont le hook postinstall télécharge silencieusement un Remote Access Trojan (RAT) multiplateforme depuis un serveur de commande et de contrôle. L'impact potentiel couvre 100 millions de téléchargements hebdomadaires sur npm. Microsoft Threat Intelligence a attribué l'attaque à Sapphire Sleet le 1er avril 2026 ; le CERT-FR a relayé l'alerte dans son bulletin CERTFR-2026-ACT-015 du 7 avril 2026. Tout système traitant des données personnelles via une dépendance compromise est susceptible d'activer l'obligation de notification à la CNIL dans les 72 heures au titre des articles 32 et 33 du RGPD. Cette attaque illustre l'intersection entre sécurité de la chaîne d'approvisionnement logicielle (Art. 32 RGPD) et gestion des violations de données (Art. 33 RGPD).

Auditez immédiatement vos projets Node.js pour toute dépendance sur axios@1.14.1 ou axios@0.30.4, migrez vers une version saine et vérifiez l'intégrité de votre chaîne de dépendances npm. Notification violation données CNIL : procédure 72h — Fuite de données : procédure de gestion et notification RGPD

8 avril 2026 — CERT-FR : faille OT dans Moxa BXP, élévation de privilèges (CVE-2026-4483)

Le CERT-FR a publié le 8 avril 2026 l'avis CERTFR-2026-AVI-0405 concernant une vulnérabilité dans les ordinateurs industriels Moxa (séries BXP-A100, BXP-A101, BXP-C100). La faille CVE-2026-4483, issue du bulletin Moxa MPSA-254811, affecte l'utilitaire MxGeneralIo : des méthodes IOCTL exposées avec un contrôle d'accès insuffisant permettent à un attaquant local d'accéder directement aux registres MSR et à la mémoire système. L'impact opérationnel comprend une élévation de privilèges, une atteinte à la confidentialité et à l'intégrité des données — risques particulièrement critiques en environnement OT/ICS. Les versions antérieures à v1.5.0 sous Windows 10, 11 et 7 sont concernées. Pour les entités essentielles et importantes soumises à NIS2, la gestion des correctifs sur les équipements OT relève de l'obligation de sécurité prévue à l'Art. 21 NIS2.

Inventoriez vos ordinateurs industriels Moxa BXP et appliquez le correctif v1.5.0 ou le patch de sécurité v1.4.0 disponible auprès de Moxa. Sous-traitance sécurité : exigences NIS2 et RGPD pour la chaîne d'approvisionnement — PSSI : politique de sécurité des systèmes d'information

9 avril 2026 — CNIL : MFA obligatoire pour les grandes bases de données, sanctions en cas d'absence

La CNIL a annoncé qu'elle renforcera dès 2026 sa politique de contrôle pour s'assurer de la mise en place de l'authentification multifacteur (MFA) pour l'accès aux grandes bases de données personnelles. L'absence de cette mesure pourra désormais justifier l'ouverture d'une procédure de sanction. L'autorité rappelle que près de 80 % des violations de grande ampleur constatées en 2024 ont été rendues possibles par l'usurpation du compte d'un employé ou d'un sous-traitant protégé par un simple mot de passe. Quatre actions prioritaires sont identifiées : déploiement du MFA, journalisation des accès (rétention de 6 à 12 mois), sensibilisation des utilisateurs et encadrement des sous-traitants. La CNIL recommande de privilégier un facteur de possession conforme au niveau R39 des recommandations de l'ANSSI.

Vérifiez immédiatement que l'accès à vos bases de données de plus de 100 000 enregistrements est protégé par une authentification multifacteur conforme aux recommandations ANSSI. Sécurité des données : les obligations de l'article 32 du RGPD — RGPD et sécurité : les mesures techniques et organisationnelles

8 avril 2026 — OpenSSL : 7 vulnérabilités corrigées, dont CVE-2026-31790 (mémoire exposée)

OpenSSL a publié le 8 avril 2026 une mise à jour de sécurité corrigeant sept vulnérabilités sur l'ensemble des branches supportées. La faille principale, CVE-2026-31790 (sévérité modérée), affecte l'encapsulation RSA KEM RSASVE : un contrôle incorrect de la valeur de retour de RSA_public_encrypt() permet à un attaquant fournissant une clé publique RSA malveillante d'accéder à de la mémoire non initialisée. Six autres failles de sévérité basse ont été corrigées, dont une lecture hors limites dans AES-CFB-128 sur les systèmes x86-64 avec AVX-512 (CVE-2026-28386), un use-after-free dans les configurations DANE (CVE-2026-28387) et un dépassement de tampon sur les plateformes 32 bits (CVE-2026-31789). Les versions correctives sont OpenSSL 3.0.20, 3.3.7, 3.4.5, 3.5.6 et 3.6.2.

Ce que ça change pour vous : planifiez la mise à jour d'OpenSSL sur vos serveurs et vérifiez la version déployée dans vos conteneurs et images de build. Sécurité des données personnelles : les obligations de l'article 32 — PSSI : politique de sécurité des systèmes d'information

8 avril 2026 — GLPI : 7 failles critiques corrigées, dont une RCE (CVE-2026-26026)

Le CERT-FR a publié le 7 avril 2026 un avis de sécurité (CERTFR-2026-AVI-0401) concernant sept vulnérabilités dans GLPI, l'outil de gestion de parc informatique très répandu en France. La plus grave, CVE-2026-26026 (CVSS 9.1), permet une exécution de code à distance via une injection de template par un administrateur. Deux autres failles affectent les versions 11.0.x : une injection SQL non authentifiée dans le moteur de recherche (CVE-2026-26263, CVSS 8.1) et une XSS stockée via l'endpoint d'inventaire (CVE-2026-26027, CVSS 7.5). Les versions 10.0.x sont également touchées par une injection SQL dans l'export des journaux (CVE-2026-29047, CVSS 7.2). Les correctifs sont disponibles dans GLPI 11.0.6 et 10.0.24. La mise à jour est impérative pour toute instance exposée sur le réseau.

Ce que ça change pour vous : mettez à jour GLPI vers 11.0.6 ou 10.0.24 immédiatement, en priorité si votre instance est accessible depuis Internet. Audit de sécurité informatique : méthodologie et outils — Sécurité des données personnelles : les obligations de l'article 32

8 avril 2026 — Chrome : zero-day CVE-2026-5281 activement exploité, patch urgent

Google a publié le 1er avril 2026 une mise à jour hors cycle de Chrome 146 pour corriger la vulnérabilité CVE-2026-5281, un use-after-free dans Dawn (implémentation WebGPU de Chromium). La faille permet l'exécution de code arbitraire via une page HTML piégée lorsque le processus de rendu est compromis. Google confirme l'existence d'un exploit actif dans la nature. Le CISA a ajouté la CVE à son catalogue KEV avec obligation de correction pour les agences fédérales américaines. Tous les navigateurs basés sur Chromium sont affectés (Edge, Brave, Vivaldi, Opera). Il s'agit du quatrième zero-day Chrome corrigé depuis le début de l'année 2026.

Ce que ça change pour vous : mettez à jour Chrome vers la version 146.0.7680.177 ou ultérieure sur tous les postes de travail, et vérifiez la politique de mise à jour automatique de vos navigateurs Chromium. Analyse de risques EBIOS RM et ISO 27005 : méthodes, différences et mise en oeuvre — Sensibilisation à la sécurité informatique : construire un programme efficace et conforme

7 avril 2026 — Conseil de l'UE : sanctions cyber contre des entités iraniennes et chinoises

Le 16 mars 2026, le Conseil de l'Union européenne a adopté de nouvelles sanctions dans le cadre du régime européen de lutte contre les cyberattaques. Trois entités — Emennet Pasargad (Iran), Integrity Technology Group et Anxun Information Technology (Chine) — ainsi que deux individus sont désormais visés par un gel d'avoirs et une interdiction d'entrée sur le territoire de l'UE.

Emennet Pasargad est impliquée dans des attaques visant Charlie Hebdo en 2023 et des opérations de désinformation lors des JO de Paris 2024. Integrity Technology aurait contribué au piratage de plus de 65 000 appareils dans six États membres entre 2022 et 2023. Anxun a fourni des services de piratage ciblant les infrastructures critiques d’États membres.

Ces sanctions portent le total à 7 entités et 19 individus sous le régime cyber européen. Cette obligation de vigilance sur la chaîne d’approvisionnement IT rejoint les exigences de l’article 21 de la directive NIS 2.

Ce que ça change pour vous : vérifiez que vos fournisseurs IT ne figurent pas sur la liste des entités sanctionnées par l'UE. Actualité cybersécurité 2026 — Actualité NIS2 2026 — CRA et NIS2 : articulation des deux règlements

6 avril 2026 — OVHcloud : revendication de compromission massive démentie par le fondateur

Le 23 mars 2026, un acteur malveillant a revendiqué sur BreachForums avoir exfiltré 590 To de données d'OVHcloud, incluant 1,6 million de dossiers clients et 5,9 millions d'enregistrements de domaines. L'attaquant affirme avoir compromis un compte parent disposant de privilèges d'administration étendus. Octave Klaba, fondateur d'OVHcloud, a démenti ces allégations, indiquant que l'échantillon de données fourni n'a pas été retrouvé sur les serveurs de l'entreprise. Les chercheurs en sécurité soulignent que la preuve avancée — une seule ligne de données contenant un email et un numéro de téléphone — est insuffisante pour accréditer une compromission de cette ampleur. L'incident intervient dans un contexte de multiplication des attaques contre les hébergeurs européens et de renforcement des obligations NIS 2 pour les fournisseurs de services cloud.

Ce que ça change pour vous : vérifiez les mesures de sécurité de vos hébergeurs cloud et assurez-vous que vos contrats de sous-traitance prévoient une notification d'incident conforme aux articles 28 et 33 du RGPD. Sécurité du cloud : le modèle de responsabilité partagée — Fuite de données : procédure de gestion et notification RGPD

5 avril 2026 — NIS2 Allemagne : date limite d'enregistrement auprès du BSI en avril

L'Allemagne, qui a transposé la directive NIS2 le 6 décembre 2025, impose aux entités essentielles et importantes de s'enregistrer auprès du BSI (Bundesamt für Sicherheit in der Informationstechnik) dans un délai de trois mois, soit d'ici avril 2026. Ce calendrier contraste avec le retard français, où la transposition législative est repoussée à juillet 2026. L'Allemagne rejoint ainsi la Belgique, la Croatie et la Hongrie parmi les États membres ayant finalisé leur transposition, alors que 15 pays font l'objet de procédures d'infraction pour retard. Pour les entreprises françaises opérant en Allemagne, cette date limite est immédiate et requiert une action concrète.

Ce que ça change pour vous : si votre entreprise opère en Allemagne, vérifiez votre statut NIS2 et procédez à l'enregistrement auprès du BSI sans délai. Actualité NIS2 2026 : directive cybersécurité européenne — Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Actualité cybersécurité 2026 : NIS2, CRA, ANSSI

5 avril 2026 — CERT-FR : vulnérabilités critiques dans Linux, OpenSSH et VMware (3 avril)

Le CERT-FR a publié le 3 avril 2026 une série d'avis de sécurité couvrant des vulnérabilités multiples dans le noyau Linux d'Ubuntu et de Red Hat, dans les produits IBM, VMware Tanzu, Synology Mail Station, Microsoft Edge et OpenSSH. Par ailleurs, la Shadowserver Foundation recense plus de 14 000 instances F5 BIG-IP APM toujours exposées sur Internet et non corrigées, avec la vulnérabilité CVE-2025-53521 reclassifiée en Remote Code Execution critique. Ces avis s'ajoutent aux alertes déjà émises sur Fortinet FortiClient. Pour les entités soumises à NIS 2 (Art. 21) et au RGPD (Art. 32), l'application des correctifs dans les délais recommandés constitue une obligation de moyens dont le non-respect peut être retenu lors d'un contrôle ou en cas de violation de données consécutive.

Ce que ça change pour vous — Appliquez en priorité les correctifs CERT-FR du 3 avril sur vos instances Linux, OpenSSH et VMware, et vérifiez l'exposition de vos équipements F5 BIG-IP APM à la CVE-2025-53521. Actualité cybersécurité 2026 : NIS2, CRA, ANSSI

5 avril 2026 — CERT-EU : 92 Go exfiltrés de la Commission européenne via supply chain

Le CERT-EU a attribué avec un niveau de confiance élevé la violation de données de la Commission européenne au groupe TeamPCP, via une compromission de type supply chain de l'outil open source Trivy. L'attaque a permis l'exfiltration de 92 gigaoctets de données depuis l'infrastructure AWS hébergeant la plateforme Europa.eu, affectant au moins 29 entités de l'Union européenne. Cet incident illustre la criticité des risques liés à la chaîne d'approvisionnement logicielle, un axe central du Cyber Resilience Act (CRA) et de la directive NIS 2 (Art. 21). Il souligne également les obligations de notification au titre de l'Art. 33 du RGPD pour les données personnelles potentiellement compromises. La CNIL et ses homologues européens suivent l'affaire en coordination avec le CERT-EU.

Ce que ça change pour vous — Auditez immédiatement vos dépendances open source et vos outils de CI/CD pour identifier les composants tiers susceptibles de constituer un vecteur d'attaque supply chain. Notification violation données CNIL : procédure 72h — Sous-traitance sécurité : exigences NIS2 et RGPD pour la chaîne

4 avril 2026 — Avis 4/2026 : CEPD demande un guichet unique NIS2/RGPD

Le 18 mars 2026, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD) ont adopté l'avis conjoint 4/2026 sur la proposition de règlement Cybersecurity Act 2 (CSA2) et la proposition d'amendements à la directive NIS 2. Les deux autorités soutiennent le renforcement du rôle de l'ENISA et l'instauration d'un guichet unique pour les notifications d'incidents de sécurité, visant à harmoniser les obligations fragmentées entre NIS 2, DORA et le RGPD. L'avis souligne la contradiction des délais actuels : l'article 33 du RGPD impose une notification à l'autorité de contrôle sous 72 heures, tandis que l'article 23 de NIS 2 prévoit une alerte précoce sous 24 heures pour le même incident. Cette dualité génère une charge de conformité excessive pour les entités soumises aux deux régimes. Le CEPD et le CEPD demandent une harmonisation des processus pour éviter les doubles déclarations et alléger la charge administrative sans réduire le niveau de protection.

Ce que ça change pour vous — Si votre organisation est soumise à la fois au RGPD et à NIS 2, mappez dès maintenant vos procédures de notification d'incidents en anticipant une possible convergence des délais vers un guichet unique. Actualité NIS2 2026 : directive cybersécurité européenne

4 avril 2026 — ANSSI publie ReCyF : le référentiel opérationnel NIS 2 en France

Le 17 mars 2026, l'ANSSI a publié le Référentiel Cyber France (ReCyF) en version document de travail, lors d'un événement réunissant au Campus Cyber les acteurs institutionnels, sectoriels et publics concernés par la directive NIS 2. ReCyF liste les mesures de sécurité recommandées pour atteindre les objectifs fixés par NIS 2 et oriente sur les bonnes pratiques associées. Il intègre un principe de proportionnalité : le niveau d'effort attendu est adapté à la maturité de l'entité et aux ressources disponibles. L'ANSSI met également à disposition un outil de comparaison permettant aux entités de mettre en parallèle ReCyF avec d'autres référentiels (ISO 27001, NIS 1, DORA, etc.). Ce référentiel demeure un document de travail : aucune version définitive ne sera publiée avant l'adoption des textes législatifs et réglementaires de transposition de NIS 2 en droit français, attendue en deuxième lecture au Parlement courant juillet 2026. Cette obligation NIS 2 rejoint l'article 32 du RGPD, qui impose déjà aux responsables de traitement des mesures techniques et organisationnelles adaptées au risque.

Ce que ça change pour vous — Téléchargez ReCyF sur cyber.gouv.fr et utilisez l'outil de comparaison pour évaluer l'écart entre votre dispositif de sécurité actuel et les attentes NIS 2, en anticipant la version définitive attendue après la transposition. Actualité NIS2 2026 : directive cybersécurité européenne — Actualité cybersécurité 2026 : NIS2, CRA, ANSSI

24 mars 2026 — CNOUS : 774 000 étudiants victimes d'une fuite, documents d'identité volés

Le Centre national des œuvres universitaires et scolaires (Cnous) a révélé le 24 mars 2026 que la plateforme mesrdv.etudiant.gouv.fr avait été compromise par le groupe DumpSec. Sur 774 000 personnes concernées, 635 000 ont vu leurs données courantes (nom, prénom, e-mail, objet et date du rendez-vous) exfiltrées. Pour 139 000 étudiants, les pièces jointes de leurs dossiers — copies de carte d'identité et passeport — ont également été dérobées. Des signalements ont été effectués auprès de l'ANSSI et de la CNIL, une plainte pénale déposée et l'accès à la plateforme suspendu. Chaque personne concernée sera notifiée individuellement conformément à l'Art. 34 RGPD. L'incident illustre le risque spécifique lié aux pièces jointes (documents d'identité) stockées dans des systèmes de prise de rendez-vous dont le niveau de protection doit être équivalent à celui des données sensibles qu'elles contiennent (Art. 5(1)(f) RGPD — intégrité et confidentialité).

Vérifiez le chiffrement des pièces jointes et les contrôles d'accès aux dépôts de fichiers, et simulez votre procédure de notification de violation sous 72 h (Art. 33 RGPD). Fuite de données : procédure de gestion et notification RGPD — DORA et RGPD : gérer les incidents de données personnelles

17 mars 2026 — ANSSI lance le ReCyF : référentiel de conformité NIS 2 en version travail

L'ANSSI a publié le 17 mars 2026 la version document de travail du Référentiel Cyber France (ReCyF), outil d'accompagnement à la mise en conformité avec la directive NIS 2. Le ReCyF liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2 et intègre un principe de proportionnalité adapté à la maturité de chaque entité. Son application reste volontaire, mais les entités s'y conformant pourront s'en prévaloir lors des contrôles ANSSI. Un outil de comparaison avec d'autres référentiels (ISO 27001, SecNumCloud, NIST…) est mis à disposition. La transposition du décret NIS 2 définissant les mesures techniques serait repoussée à juillet 2026. Opérationnellement, le ReCyF impose de documenter les mesures de gestion du risque cyber par rapport aux objectifs de sécurité définis — démarche qui rejoint l'Art. 32 du RGPD pour les traitements de données personnelles inclus dans le périmètre des entités concernées.

Téléchargez le ReCyF sur cyber.gouv.fr, comparez-le à vos référentiels et lancez votre auto-évaluation NIS 2. Actualité NIS2 2026 — Actualité cybersécurité 2026

3 avril 2026 — Fortinet FortiClient et F5 BIG-IP : failles critiques exploitées, patch urgent

Deux vulnérabilités critiques font l'objet d'exploitation active. Une faille dans Fortinet FortiClient EMS permet à des attaquants d'accéder aux réseaux d'entreprise sans autorisation. Parallèlement, F5 a reclassifié une vulnérabilité BIG-IP APM en exécution de code à distance (RCE) critique — des webshells sont déjà déployés sur des appareils non corrigés selon les chercheurs. Ces produits sont largement présents dans les infrastructures des entités essentielles et importantes au sens de NIS 2. L'Art. 21 de la directive NIS 2 impose des mesures techniques proportionnées incluant la gestion des correctifs de sécurité. L'obligation de patch rapide s'applique dès lors qu'une vulnérabilité activement exploitée est connue. Voir notre guide de gestion des vulnérabilités et la checklist NIS 2.

Ce que ça change pour vous : les entités NIS 2 utilisant Fortinet FortiClient EMS ou F5 BIG-IP doivent appliquer les correctifs de sécurité immédiatement et analyser leurs journaux d'accès pour détecter une éventuelle compromission. Gestion des vulnérabilités : processus conforme NIS 2 / CRA — Conformité NIS 2 : checklist des 10 mesures obligatoires

2 avril 2026 — Fuite de données du SIA : un pirate accède aux adresses des détenteurs d'armes

Un pirate informatique a exfiltré des données du Système d'Information sur les Armes (SIA), géré par le ministère de l'Intérieur. La fuite comprend les types d'armes détenus mais aussi les adresses personnelles des propriétaires, soit des données particulièrement sensibles au regard de la sécurité physique des personnes. Le ministère a confirmé la violation et notifié les personnes concernées par courrier. Cette fuite constitue une violation de données personnelles au sens de l'art. 33 du RGPD et impose une notification à la CNIL dans les 72 heures. Voir notre guide complet sur la notification de violation de données et la procédure de gestion des fuites.

Ce que ça change pour vous : toute entité traitant des données sensibles doit vérifier ses mesures de sécurité et ses procédures de notification en cas de violation. Notification violation données CNIL : procédure 72h — Fuite de données : procédure de gestion et notification RGPD

2 avril 2026 — Forum InCyber 2026 : le Cesin publie un livre blanc sur l'autonomie numérique

La 18e édition du Forum InCyber, qui s'est tenue du 31 mars au 2 avril 2026 à Lille Grand Palais, a réuni 6 570 décisionnaires (+13 % par rapport à 2024) autour du thème « Maîtriser nos dépendances numériques ». Parmi les interventions marquantes, la présidente de la CNIL Marie-Laure Denis, le fondateur d'OVHcloud Octave Klaba et la vice-présidente exécutive de la Commission européenne Henna Virkkunen ont insisté sur la nécessité de renforcer la souveraineté technologique de l'Europe. Le Cesin a dévoilé un livre blanc proposant des mesures concrètes pour rendre opérationnelle l'autonomie numérique du continent, notamment face au risque de « kill-switch américain » — la possibilité pour un fournisseur cloud étranger de couper l'accès à ses services. Ce débat s'inscrit dans le prolongement direct des obligations NIS 2 et DORA en matière de gestion des risques liés aux prestataires TIC.

Ce que ça change pour vous — évaluez vos dépendances à des fournisseurs cloud extra-européens dans le cadre de vos analyses de risques NIS 2 et DORA.

2 avril 2026 — CRA : consultation close, premières obligations dès septembre 2026

La consultation publique ouverte le 3 mars 2026 par la Commission européenne sur les lignes directrices d'application du Cyber Resilience Act s'est clôturée le 31 mars 2026. Ce document non contraignant clarifie des points clés du règlement : qualification des solutions de traitement de données à distance, statut des logiciels libres et open source, notion de « périodes de support », et articulation du CRA avec les autres législations européennes. Deux échéances réglementaires imminentes : au 11 juin 2026, les autorités notifiantes doivent avoir établi les procédures d'évaluation et de désignation des organismes de conformité ; au 11 septembre 2026, les fabricants de produits connectés seront soumis à l'obligation de signalement des vulnérabilités activement exploitées (rapport initial sous 24 h, compléments sous 72 h, rapport final sous 14 jours). L'ensemble des obligations du CRA s'appliquera au 11 décembre 2027.

Ce que ça change pour vous — les fabricants et éditeurs doivent dès maintenant structurer leur processus de signalement de vulnérabilités pour être prêts au 11 septembre 2026. Cyber Résilience Act (CRA) : guide complet — CRA : qui est concerné ? — SBOM : nomenclature logicielle imposée par le CRA

2 avril 2026 — Baromètre InCyber 2026 : 8 613 violations notifiées, +45 % en un an

Le Baromètre des fuites de données personnelles 2026, élaboré en partenariat avec la CNIL et présenté au Forum InCyber à Lille, recense 8 613 violations de données personnelles notifiées entre septembre 2024 et septembre 2025 — soit une hausse de 45 % par rapport à l'année précédente. Rapporté au quotidien, cela représente près de 24 incidents déclarés par jour. Le nombre d'individus potentiellement exposés passe de 8 à 12 millions. Les incidents d'origine intentionnelle progressent de plus de 60 %, portés par la généralisation du phishing, le vol d'identifiants et les attaques sur des prestataires mutualisés ou des éditeurs SaaS. Les secteurs les plus touchés restent la finance et assurance, la santé et l'action sociale, et les activités scientifiques et techniques. Cette tendance confirme l'industrialisation du cybercrime et renforce la pression sur les obligations de notification prévues par les articles 33 et 34 du RGPD.

Ce que ça change pour vous — vérifiez que votre procédure de notification de violation est opérationnelle sous 72 heures et que votre registre des violations (Art. 33(5) RGPD) est à jour. C'est le type de risque que Legiscope permet de suivre en temps réel grâce à son module de gestion des violations de données. Gérer les violations de données personnelles conformément au RGPD — Fuite de données : procédure de gestion et notification RGPD

18 mars 2026 — EDPB-EDPS : avis conjoint sur le Cybersecurity Act 2 et la révision NIS 2

Le 18 mars 2026, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD) ont adopté l'avis conjoint 4/2026 sur la proposition de règlement Cybersecurity Act 2 (CSA2) et la proposition d'amendements à la directive NIS 2. Les deux autorités soutiennent le renforcement du rôle de l'ENISA et l'introduction d'un point d'entrée unique pour les notifications d'incidents de sécurité, mesure visant à harmoniser les obligations de déclaration fragmentées entre NIS 2, DORA et le RGPD. L'avis demande expressément une plus grande harmonisation entre les régimes de notification d'incidents, soulignant que l'Art. 33 RGPD (notification à l'autorité de contrôle sous 72 h) et l'Art. 23 NIS 2 (notification précoce sous 24 h) imposent des délais distincts pour un même incident. L'avis salue également la désignation des fournisseurs de portefeuilles numériques européens (eIDAS 2) comme entités essentielles au titre de NIS 2. Sur le plan opérationnel, la création d'un guichet unique d'incident réduirait la charge administrative des organisations soumises à plusieurs régimes simultanément (NIS 2 + RGPD + DORA).

Ce que ça change pour vous : anticipez la convergence des obligations de notification d'incidents NIS 2, RGPD et DORA en documentant dès maintenant un processus unifié de gestion des incidents. Directive NIS2 : guide complet — Actualité NIS2 2026

31 mars 2026 — UE : boîte à outils pour la sécurité des chaînes d'approvisionnement TIC

Le groupe de coopération NIS, composé des représentants des États membres, de la Commission européenne et de l'ENISA, a adopté le 13 février 2026 une boîte à outils européenne (EU ICT Supply Chain Security Toolbox) pour la sécurité des chaînes d'approvisionnement TIC. Ce cadre fournit une approche commune pour identifier, évaluer et atténuer les risques de cybersécurité liés aux chaînes d'approvisionnement, en recommandant notamment le recours à des stratégies multi-fournisseurs et la réduction des dépendances vis-à-vis des fournisseurs à haut risque. La boîte à outils est accompagnée de deux évaluations de risques sectorielles : véhicules connectés et autonomes, et équipements de détection. Cette obligation rejoint les exigences de l'article 21 de la directive NIS2 en matière de gestion des risques de la chaîne d'approvisionnement.

Intégrez cette boîte à outils dans votre processus de gestion des risques fournisseurs, en particulier si vous êtes entité essentielle ou importante au sens de NIS2. Sous-traitance sécurité : exigences NIS2 et RGPD

30 mars 2026 — Europa.eu : Commission confirme violation de données (ShinyHunters)

La Commission européenne a confirmé le 30 mars 2026 une violation de données affectant la plateforme Europa.eu, piratée par le groupe ShinyHunters. La Commission indique avoir détecté l'incident et pris des mesures de confinement, tout en minimisant l'impact sur ses systèmes internes. Des données appartenant à des entités institutionnelles de l'UE pourraient avoir été exfiltrées. La Commission a notifié les organisations dont les données sont potentiellement compromises. Cet incident illustre que les obligations de l'article 33 du RGPD (notification à l'autorité de contrôle dans les 72 heures) s'appliquent également aux institutions européennes soumises au règlement 2018/1725. Le groupe ShinyHunters est connu pour des attaques à grande échelle suivies de tentatives d'extorsion.

Vérifiez si votre organisation a des accès ou des données hébergées sur des portails Europa.eu et documentez toute exposition potentielle dans votre registre des violations. Fuite de données : procédure de gestion et notification RGPD — Sécurité des données personnelles : les obligations de l'article 32 du RGPD

31 mars 2026 — Forum InCyber 2026 : dépendances numériques et souveraineté au cœur

Le Forum InCyber 2026 ouvre ses portes à Lille ce 31 mars, avec pour thème central les dépendances numériques. Pour les DSI et RSSI, l'édition 2026 place la question de la résilience au-delà du périmètre organisationnel : il s'agit d'identifier les points d'appui externes qui conditionnent la cybersécurité. L'ANSSI sera présente pour y promouvoir ses référentiels NIS 2 (ReCyF) et ses programmes d'accompagnement. Le Forum InCyber est l'un des événements européens de référence en cybersécurité, réunissant décideurs publics, industriels, experts et autorités de régulation. La thématique des dépendances numériques résonne directement avec les obligations de gestion des risques liés aux tiers, telles que définies à l'article 21(2)(d) de la directive NIS 2 et à l'article 28 RGPD pour les sous-traitants.

Consultez les publications et prises de position diffusées pendant le Forum InCyber 2026 pour mettre à jour votre veille réglementaire NIS 2 et votre analyse de risques liés aux tiers. Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Actualité NIS2 2026

30 mars 2026 — Cybermalveillance 2025 : 504 000 demandes, cyberharcèlement ×3 chez les pros

Cybermalveillance.gouv.fr publie son rapport d'activité 2025 : la plateforme nationale d'assistance a enregistré plus de 504 000 demandes, émanant de particuliers, d'entreprises et de collectivités. Fait marquant : les demandes pour cyberharcèlement triplent chez les publics professionnels, signe d'une évolution des menaces vers des vecteurs socio-numériques. Les ransomwares demeurent la principale menace pesant sur les entreprises et les collectivités, bien que le rapport invite à relativiser les chiffres bruts du fait de recoupements entre catégories d'incidents. La fraude au conseiller bancaire et le piratage de messagerie restent des vecteurs d'attaque majeurs. Ce rapport est un baromètre clé pour apprécier le contexte de menace que NIS 2 cherche à adresser (Art. 21 NIS2 : mesures de gestion des risques cyber), et donne des arguments concrets pour justifier l'investissement en sécurité auprès des directions générales. Ces chiffres viennent compléter le Panorama de la cybermenace 2025 de l'ANSSI publié en mars dernier.

Utilisez les données du rapport Cybermalveillance 2025 pour documenter votre analyse de risque NIS 2 et sensibiliser vos équipes aux menaces réelles en France. Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Actualité cybersécurité 2026

16 mars 2026 — Santé numérique : décret mars 2026 instaure sanctions pour éditeurs

Un décret du 3 mars 2026, pris en application de l'article L1470-6 du Code de la santé publique, instaure un régime de contrôles et de sanctions à l'encontre des éditeurs de services numériques en santé en cas de non-respect des référentiels de sécurité, d'interopérabilité et d'éthique applicables. Selon DSIH (16 mars 2026), ce décret « discret mais potentiellement douloureux » introduit des mécanismes d'audit et des sanctions administratives pour les éditeurs ne respectant pas le cadre de l'Espace Numérique de Santé (ENS) et de l'ANS. Sur le plan RGPD, ce décret croise directement les obligations de l'article 32 (mesures de sécurité) et les exigences d'une AIPD pour les systèmes traitant des données de santé (catégorie sensible, Art. 9 RGPD). Cette obligation rejoint l'article 32 du RGPD sur la sécurité des systèmes traitant des données de santé. Les éditeurs de logiciels de santé (DMP, messagerie sécurisée, télémédecine) doivent vérifier leur alignement avec les référentiels ANS en vigueur.

Pour les éditeurs de services numériques en santé : vérifier la conformité aux référentiels ANS avant tout contrôle administratif. Sécurité des données personnelles : Art. 32 RGPD

12 mars 2026 — CRA : guide DGE et aide de 30 000 € pour la conformité des PME

La Direction générale des Entreprises (DGE) a publié un guide pratique sur ce que le Cyber Resilience Act (CRA) change pour les entreprises et comment s'y préparer (mars 2026). Un dispositif de financement pouvant atteindre 30 000 euros est également disponible pour accompagner les PME dans leur mise en conformité CRA (Solutions-Numeriques). Le CRA impose aux fabricants de produits numériques connectés de garantir la sécurité tout au long du cycle de vie, de gérer les vulnérabilités et d'assurer les mises à jour de sécurité, avec un marquage CE obligatoire exigible en décembre 2027. Les obligations clés incluent une politique de gestion des vulnérabilités, la notification des incidents aux CSIRT nationaux (Art. 14 CRA), et la fourniture d'une nomenclature des composants logiciels (SBOM). L'intersection avec le RGPD est directe pour les produits traitant des données personnelles : les obligations CRA rejoignent l'article 25 RGPD (privacy by design) et l'article 32 RGPD.

Évaluer si vos produits numériques entrent dans le périmètre CRA et consulter le guide DGE pour identifier les obligations applicables à votre catégorie de produit. CRA : qui est concerné ? — Support sécurité des produits numériques — CRA et RGPD : intersection

19 mars 2026 — NIS2 : l'ANSSI déploie ReCyF et impose le tempo de la conformité

L'ANSSI a déployé sa plateforme ReCyF (Référentiel de Cybersécurité Française) qui structure et cadence la mise en conformité NIS2 pour les entités essentielles et importantes. Selon Solutions-Numeriques (19 mars 2026), ReCyF impose un calendrier de conformité avec des jalons et des niveaux de maturité attendus. Les obligations NIS2 couvrent la gouvernance de la cybersécurité, la gestion des risques, la notification des incidents (Art. 21 et 23 NIS2), et la sécurité de la chaîne d'approvisionnement. L'intersection avec le RGPD est explicite : une violation de sécurité notifiable au titre de NIS2 peut simultanément constituer une violation de données à notifier à la CNIL sous 72 heures (Art. 33 RGPD). Cette obligation NIS2 rejoint ainsi l'article 32 du RGPD sur la sécurité des systèmes d'information. Les entités des secteurs hautement critiques doivent prioriser leur enrôlement sur ReCyF.

Vérifier votre éligibilité et vous enrôler sur la plateforme ReCyF de l'ANSSI pour structurer votre calendrier de conformité NIS2. Actualité NIS2 2026

19 mars 2026 — L'ANSSI publie le référentiel ReCyF pour anticiper NIS 2

L'ANSSI a publié son référentiel ReCyF (Référentiel Cyber Fondamental), un cadre de bonnes pratiques destiné aux organisations qui seront soumises à la directive NIS 2. Ce référentiel permet aux entreprises de commencer leur mise en conformité sans attendre la transposition définitive de la directive en droit français. Le ReCyF définit des mesures de cybersécurité fondamentales couvrant la gouvernance, la protection, la détection et la réponse aux incidents. L'ANSSI a publié ce référentiel alors que la CSNP (Commission supérieure du numérique et des postes) s'impatiente publiquement du retard pris par la transposition française. Ce document constitue la première pierre opérationnelle de l'écosystème NIS 2 français et permet aux organisations d'évaluer leur niveau de maturité cyber.

Utilisez le référentiel ReCyF de l'ANSSI pour initier votre mise en conformité NIS 2 dès maintenant. Directive NIS2 : guide complet des nouvelles obligations

13 mars 2026 — La CNIL publie ses recommandations sur les proxys web filtrants

La CNIL a publié le 13 mars 2026 une recommandation destinée à accompagner les utilisateurs et les fournisseurs de serveurs mandataires web filtrants (proxys filtrants) dans leur mise en conformité au RGPD. Ces dispositifs, largement déployés en entreprise pour la cybersécurité, interceptent et analysent le trafic web des salariés, ce qui implique un traitement de données personnelles. La CNIL rappelle que ces solutions doivent être conformes au RGPD tant dans leur usage que dès leur conception (privacy by design, Art. 25 RGPD). La recommandation précise les bases légales applicables, les mesures de minimisation des données et les obligations d'information des salariés. Cette publication s'inscrit dans la volonté de la CNIL de promouvoir des solutions de cybersécurité respectueuses de la vie privée.

Vérifiez la conformité RGPD de vos proxys web filtrants à l'aide de cette nouvelle recommandation CNIL. RGPD et sécurité : les mesures techniques et organisationnelles

24 mars 2026 — Vague de violations massives dans le secteur éducatif français

Trois violations majeures de données frappent le secteur éducatif français en une semaine. Le CNOUS a subi le piratage d'un de ses systèmes d'information, exposant les données personnelles de 774 000 étudiants ou anciens étudiants. Parallèlement, le ministère de l'Éducation nationale a révélé le 23 mars qu'une intrusion dans son système RH « Compas » a compromis les données de 243 000 agents enseignants stagiaires. Enfin, le Secrétariat général de l'Enseignement catholique a été victime d'une cyberattaque exposant les données administratives de 1,5 million de personnes. Au total, plus de 2,5 millions de personnes sont concernées. Ces incidents démontrent la vulnérabilité des systèmes d'information du secteur public éducatif et rappellent l'obligation de notification à la CNIL dans les 72 heures (Art. 33 RGPD).

Vérifiez immédiatement vos procédures de notification de violation et la sécurité de vos systèmes RH et de gestion des étudiants. Fuite de données : procédure de gestion et notification RGPD — RGPD et sécurité : les mesures techniques et organisationnelles

11 mars 2026 — Panorama de la cybermenace 2025 : l’ANSSI confirme l’intensification des attaques

L’ANSSI publie son Panorama de la cybermenace 2025, qui confirme l’intensification des attaques par rançongiciel et l’émergence de menaces liées à l’IA générative. Les secteurs les plus ciblés restent la santé, les collectivités territoriales et les PME. Le rapport souligne que NIS2 arrive à point nommé pour structurer la réponse des entités essentielles et importantes. L’impact RGPD est direct : chaque cyberattaque réussie peut constituer une violation de données à notifier (art. 33-34 RGPD).

Ce que ça change pour vous : intégrez les indicateurs de menace du panorama ANSSI dans votre analyse de risques et vérifiez votre procédure de notification de violation. NIS2 : entites essentielles vs entites importantes -- differences, obligations et consequences — Notification de cyberattaque : qui prevenir, quand et comment

8 janvier 2026 — L’ANSSI renforce le dispositif national de cybersécurité avec les CSIRT régionaux

L’ANSSI annonce le renforcement du dispositif national de cybersécurité, avec la montée en puissance des CSIRT régionaux. Ces centres de réponse aux incidents cyber couvrent désormais l’ensemble du territoire et offrent un accompagnement de proximité aux collectivités et PME. Le dispositif s’inscrit dans la transposition de NIS2 : les entités essentielles et importantes pourront s’appuyer sur ces structures pour la gestion de leurs incidents.

Ce que ça change pour vous : les PME et collectivités disposent désormais d’un point de contact cyber de proximité. Vérifiez quel CSIRT couvre votre région. NIS2 : entites essentielles vs entites importantes -- differences, obligations et consequences — Gestion des incidents de securite : plan de reponse et procedure