Cybersécurité, RGPD & IA : Les actus à ne pas manquer de janvier 2026 

Nouvelle année, mêmes cybermenaces, mais aussi nouvelles dynamiques réglementaires, innovations technologiques et signaux forts venus des institutions.

On fait le point sur ce qu’il ne fallait pas manquer.

Chaîne d’approvisionnement : l’UE muscle son jeu cybersécurité

Fini les recommandations sans effet : avec la nouvelle version du Cybersecurity Act, la Commission européenne passe à l’action pour sécuriser la chaîne d’approvisionnement technologique. L'objectif ? Anticiper les attaques sur les composants critiques et se doter d’un mécanisme clair pour exclure les fournisseurs jugés à risque.

Le texte introduit trois briques inédites :

• des évaluations de risque coordonnées au niveau européen,

• l’identification formelle des actifs ICT clés,

• et surtout, la possibilité de restreindre l’accès au marché pour des fournisseurs issus de pays jugés problématiques d’un point de vue juridique ou politique.

Huawei et ZTE sont clairement dans le viseur, mais la portée dépasse largement la 5G : c’est toute la cybersécurité de la supply chain qui entre dans une nouvelle ère, plus encadrée, plus politique, et plus stratégique pour les entreprises.

Source : L'Usine Digitale

Naviguer sans se brûler : VirtualBrowser obtient la certification de l’ANSSI

VirtualBrowser vient d’obtenir la certification de sécurité de premier niveau (CSPN) délivrée par l’ANSSI. Une reconnaissance officielle qui crédibilise sa technologie d’isolation de navigation web et la propulse parmi les solutions recommandées pour les environnements sensibles, des ministères aux OIV, en passant par les grandes entreprises.

Le principe ? Déporter l’exécution des pages web sur un serveur distant. Sur le poste utilisateur, seul un flux visuel est affiché. Pas de code, pas de script, pas de contact direct avec Internet. Résultat ? Les cyberattaques (80 % passant par le navigateur) sont bloquées à la racine.

Côté sécurité, la promesse est forte. Chaque session est conteneurisée, isolée, détruite à la fin, sans trace résiduelle. Et la CSPN de l’ANSSI permet d’éviter tests d’intrusion et audits coûteux chez les clients les plus exigeants. Un gain de temps, de confiance… et d'argent.

Mais ce n’est pas tout. VirtualBrowser coche aussi la case efficience : dans certains environnements, la solution permet de supprimer des postes physiques redondants (typiquement un poste “Internet” dédié), réduisant les coûts de plusieurs centaines de milliers d’euros. Et ça fonctionne : un avionneur français a déployé la solution sur 12 000 postes pour 100 % de sa navigation.

La solution couvre trois usages critiques :

• accès au web depuis des postes sensibles,

• navigation vers des sites non catégorisés,

• connexions aux SI depuis des postes non maîtrisés (ex : prestataires).

Dernier cas d’usage en date : la visioconférence. Dans des contextes où Zoom, Meet ou Teams sont bannis, VirtualBrowser rend possible l’échange… sans compromettre la sécurité.

Un pari ambitieux, dans un marché dominé par des géants américains comme Zscaler, Cloudflare ou Menlo. Mais avec cette spécialisation laser sur l’isolation du navigateur, une compatibilité agentless, et une certification française, VirtualBrowser joue sa carte souveraine et assumée.

Source : VirtualBrowser

“Visio” : l’État muscle sa stratégie numérique et coupe le cordon avec Teams & Zoom

Après les mails, la messagerie et le cloud, c’est au tour de la visioconférence de passer sous pavillon souverain. Le 26 janvier, la Dinum a annoncé le déploiement progressif de Visio, l’outil de réunion développé en interne dans le cadre de la Suite Numérique. Le but étant celui de remplacer Teams, Zoom, Webex & co. dans l’ensemble des services publics et équiper jusqu’à 200 000 agents avec une solution unique, sécurisée et maîtrisée.

Le constat est clair : la prolifération des outils de visioconférence hétérogènes alourdit la gestion IT, complexifie l’interopérabilité et multiplie les points de vulnérabilité. Sans parler de la dépendance aux géants américains, problématique autant sur le plan technique que juridique, à l’heure de l’extraterritorialité des lois et des enjeux de souveraineté numérique.

Visio entend corriger le tir en proposant un service unifié, conforme aux standards de sécurité de l’État, adapté aux échanges sensibles et capable de s’intégrer avec les autres briques de la Suite Numérique (messagerie, édition de documents, IA…). Pas de rupture brutale pour autant : la bascule se fera en douceur, avec accompagnement des agents et montée en charge progressive.

Au-delà d’un simple outil, Visio marque une étape stratégique dans la reconquête numérique de l’État : celle d’un écosystème cohérent, souverain et interopérable, pensé pour durer. Et un signal fort : la maîtrise des outils numériques est aussi (et surtout) une question de confiance et de résilience.

Source : Numerique.gouv

Confer : l’IA générative selon Signal, chiffrée de bout en bout

Après avoir bousculé la messagerie instantanée avec Signal, Moxie Marlinspike veut faire de même avec l’IA. Son nouveau projet, Confer, s’attaque à un angle mort majeur : la confidentialité des échanges avec les assistants IA.

Contrairement à ChatGPT ou Gemini, où vos messages restent théoriquement accessibles aux opérateurs des plateformes, Confer promet une confidentialité réelle, garantie par le design, pas par les CGU.

Une architecture radicalement différente

• Chiffrement de bout en bout : tout est chiffré côté utilisateur, déchiffré uniquement dans un environnement sécurisé (TEE) sur les serveurs, puis re-chiffré. 

• Pas de mot de passe : l’authentification repose sur des passkeys ; une clé privée locale, une clé publique côté serveur. 

• Impossible d’espionner : les serveurs n'ont jamais accès au contenu en clair, et aucune réquisition judiciaire ne permettrait d’y accéder. 

Auditable, open source, vérifiable

Confer va encore plus loin avec un système de "remote attestation" : les utilisateurs peuvent vérifier que le code exécuté est bien celui publié, open source et signé. Rien ne tourne dans l’ombre.

Une rupture avec le modèle dominant

Confer s’oppose frontalement à la logique actuelle : centralisation, collecte massive, surveillance passive. Ici, l’assistant ne sait rien de vous qu’il ne doive strictement savoir pour répondre et il l’oublie aussitôt. Le message est clair : la confidentialité n’est pas un supplément d’âme, mais un socle technique. 

Source : L'Usine Digitale

IA & santé mentale : quand les jeunes débattent au Parlement européen

Le 12 février, 130 jeunes Européens prendront la parole au Parlement de Strasbourg pour débattre d’un sujet qui les concerne directement : l’impact des IA conversationnelles sur la santé mentale, la vie privée et les relations sociales.

Organisé par la CNIL et le Groupe VYV, ce moment inédit est le point de départ du programme AI.me, qui vise à penser une régulation de l’IA ancrée dans les usages réels et les préoccupations des nouvelles générations.

Six angles pour interroger un usage massif (et ambivalent)

L’IA comme confident, les dérives possibles, les impacts sur les relations humaines, la gestion des données personnelles, l’éducation numérique et les cadres éthiques à inventer : autant de sujets sur lesquels les jeunes travailleront collectivement le matin, avant de délibérer l’après-midi en hémicycle.

Le format est aussi inédit que symbolique : ce sont les jeunes qui restituent, priorisent et interrogent les décideurs. L’objectif affiché : transformer cette parole en recommandations concrètes, capables d’influencer les politiques européennes sur l’encadrement des IA.

Une méthode qui dépasse le juridique

AI.me ne cherche pas (seulement) à produire un avis réglementaire. Il s’agit d’articuler éducation, innovation, prévention et démocratie numérique, dans un contexte où les IA conversationnelles s’intègrent massivement dans la vie des adolescents, parfois comme outils de soutien, parfois comme source d’isolement ou de confusion.

44 % des Français considèrent que l’IA peut entraîner un risque fort de dépendance (Ipsos 2025). Une statistique qui résonne avec l’ambition du projet : ne pas attendre la crise pour penser les garde-fous.

Source : CNIL

European Sovereign Cloud : AWS joue sa carte souveraine… à sa façon

AWS muscle son jeu en Europe. Deux ans après avoir annoncé son European Sovereign Cloud, le géant américain passe à l’étape concrète : une première région ouverte en Allemagne, trois local zones prévues en Belgique, aux Pays-Bas et au Portugal, et une ambition affirmée : imposer sa propre définition de la souveraineté numérique, sans compromis sur les services.

Ce cloud se veut isolé du reste d’AWS : systèmes d’identité, facturation, métadonnées, équipes d’exploitation ; tout est hébergé, administré et opéré exclusivement depuis l’UE, par des citoyens européens, physiquement présents sur le territoire. En cas de coupure avec les systèmes globaux ? L’infrastructure continue à tourner en autonomie complète.

Une promesse technique face à une défiance politique

Avec ce cloud "à part”, AWS espère rassurer administrations, industriels sensibles, acteurs régulés. Pas en promettant juridiquement que les données ne bougeront pas. Mais en garantissant techniquement qu’elles ne peuvent pas bouger : pas d’accès humain aux données, architecture matérielle isolée, code source exploitable localement, et “zéro transfert vers les US” depuis des années, selon les rapports de transparence d’AWS.

L’entreprise mise donc sur l’impossibilité technique d’accès plutôt que sur un bouclier juridique anti-CLOUD Act. Une stratégie assumée, qui bouscule les repères traditionnels de la souveraineté en misant sur la performance… et la confiance.

AWS, souverain mais pas bridé

Pas question de proposer un “mini-cloud” : l’offre européenne embarque dès l’ouverture plus de 90 services managés, y compris en IA. L'objectif ? rassurer sans frustrer, et convaincre les clients européens qu’ils n’ont pas à choisir entre conformité et couverture fonctionnelle.

La gouvernance n’est pas oubliée : direction européenne, advisory board dédié, présence de profils haut niveau comme Stéphane Israël ou le général Philippe Lavigne, ex-Otan.

Une souveraineté made in AWS

Face aux offres Bleu (Microsoft + Orange + Capgemini) et S3NS (Google + Thales), AWS suit une autre route : pas de partenariat, pas de SecNumCloud à ce stade, mais un référentiel de conformité maison, l’ESC-SRF, audité par des tiers indépendants. Avec un investissement de 7,8 milliards d’euros, AWS vise directement l’échelle européenne.

Jusqu’où cette souveraineté-by-design suffira à convaincre les clients publics les plus exigeants ? Le débat reste ouvert. Mais une chose est sûre : en 2026, la bataille de la confiance dans le cloud ne se joue plus seulement sur le terrain des promesses, mais sur celui de l’architecture.

Source : Le Monde Informatique

Free sanctionné par la CNIL

Impossible d’ignorer cette actualité, tant elle a fait les gros titres : 42 millions d’euros d’amende infligés à Free et Free Mobile par la CNIL, à la suite d’une cyberattaque massive. Derrière la sanction, ce sont surtout des failles de gouvernance des données personnelles et de pilotage du risque cyber que le régulateur vient pointer.

Une cyberattaque comme point de départ

Tout commence entre le 28 septembre et le 22 octobre 2024 : un attaquant accède aux outils internes de gestion des abonnés Free. Résultat ? Plus de 24,6 millions de contrats exposés, dont 19,5 millions mobiles et 5,1 millions fixes. Les données compromises incluaient :

• informations d’identité,

• coordonnées de contact,

• données contractuelles,

• et, pour certains, IBAN et données bancaires. 

C’est cette fuite qui déclenche la procédure de sanction par la CNIL.

Free Mobile : données conservées trop longtemps

La sanction la plus lourde (celle à 27 millions d’euros) tombe sur Free Mobile, pour plusieurs manquements :

• conservation excessive : des millions de contrats résiliés stockés depuis plus de 5 voire 10 ans, sans justification valable. 

• failles de sécurité : détection tardive des comportements anormaux, accès insuffisamment protégés. À savoir que l’attaquant est resté actif plusieurs semaines sans être repéré. 

Autrement dit : le cycle de vie des données n’était pas maîtrisé, et les contrôles de sécurité manquaient de robustesse.

Free (fixe) : une sécurité technique jugée insuffisante

De son côté, Free écope de 15 millions d’euros d’amende, principalement pour non-respect de l’obligation de sécurité :

• manque de mesures organisationnelles et techniques pour sécuriser les bases contenant des données sensibles.

• et notamment, une protection insuffisante des coordonnées bancaires. 

Des correctifs... mais trop tardifs

Pendant la procédure, Free Mobile a bien engagé un travail de tri : suppression partielle des données trop anciennes, et conservation limitée aux obligations comptables (10 ans max).

Mais pour la CNIL, c’est trop peu, trop tard. L’autorité enjoint à Free Mobile de finaliser la purge complète des données concernées dans un délai de 6 mois.

Ce qu’on retient (au-delà de l’amende)

Ce cas illustre une fois encore que le pilotage des données personnelles ne s’arrête pas au traitement :

• La durée de conservation doit être strictement maîtrisée. 

• La sécurité opérationnelle doit être en phase avec le niveau de risque réel. 

• Et les correctifs a posteriori ne suffisent pas à effacer les manquements initiaux.

Source : CNIL

Les cyberattaques du mois

HubEE : une plateforme étatique victime du vol de 160 000 documents

Le 9 janvier, la Dinum a détecté une intrusion dans HubEE, la plateforme d’échange de documents utilisée par plusieurs administrations (DGS, DGCS, DILA, CNAF). Résultat : 70 000 dossiers, soit 160 000 fichiers contenant des données personnelles, ont été exfiltrés.

L’enquête est en cours. La CNIL, l’ANSSI et le Premier ministre ont été alertés. À ce stade, aucune diffusion des documents n’a été repérée. Cela dit, cette attaque soulève de sérieuses questions sur l’hygiène numérique de l’administration. Quelques jours plus tôt, le ministre de l’Intérieur évoquait lui-même un “défaut d’hygiène” après une autre attaque d’ampleur. Les mots de passe s’échangeaient parfois… par mail.

Affaire à suivre.

Pologne : sabotage russe présumé contre le réseau électrique

Fin décembre, la Pologne aurait évité de justesse un blackout provoqué par une cyberattaque qualifiée de “plus grave jamais enregistrée” contre ses infrastructures énergétiques.

Selon les autorités, la Russie serait à l’origine de cette offensive visant des centrales de co-génération et des installations d’énergies renouvelables. Si aucune coupure n’a eu lieu, l’intention de “déstabilisation” semble claire, dans un contexte de tensions régionales. Le ministre du Numérique évoque des “chars numériques”, soulignant le potentiel destructeur des cyberattaques dans les conflits hybrides.

Ofii : fuite de données sensibles via un sous-traitant

L’Office français de l’immigration et de l’intégration a été victime d’une fuite de données touchant des étrangers engagés dans le Contrat d’Intégration Républicaine.

Le piratage, révélé sur un forum par un hacker, vise un sous-traitant en charge des formations prévues par le contrat. Les données exposées (identité, nature du séjour, coordonnées, etc.) concernent quelques centaines de personnes, dont un fichier dédié à 600 ressortissants israéliens. L’Ofii a déposé plainte et renforcé les exigences de sécurité imposées à ses prestataires.

La Poste attaquée deux fois en dix jours

Après une attaque par déni de service (DDoS) d’une “ampleur inédite” à Noël, La Poste a de nouveau été ciblée le 1er janvier. Conséquences : perturbations du suivi des colis, de l’application bancaire et de la plateforme Digiposte.

Le collectif prorusse NoName057(16) a revendiqué la première attaque. La seconde n’a pas encore été attribuée, mais présente un mode opératoire similaire. Aucun vol de données n’est à signaler, mais ces attaques soulignent une fois de plus la vulnérabilité des services publics aux attaques de saturation.

Et voilà, vous êtes à jour ! 

Si une actu vous a interpellé, n’hésitez pas à creuser via les articles source. Et pour les prochaines, restez connectés.

On revient fin février avec un nouveau récap’ !