Orange, a récemment été victime d’une cyberattaque ciblant sa filiale roumaine. Cette intrusion, confirmé par Orange le 24 février 2025, met en lumière la vulnérabilité persistante des systèmes d’information, même parmi les groupes les plus structurés, et rappelle l’importance d’un encadrement juridique renforcé en matière de cybersécurité.
🟠 1 – Une faille exploitée dans une application back-office
La cyberattaque aurait visé une application interne utilisée par Orange Romania, l’un des principaux opérateurs mobiles en Europe de l’Est.
Selon les premières analyses, une faille de sécurité dans ce système back-office a permis à des acteurs malveillants de s’infiltrer dans les serveurs et d’accéder à des données sensibles.
Le groupe de hackers HellCat, connu pour ses activités de rançongiciels, a revendiqué l’attaque.
🟠 2 – Des données internes et sensibles compromises
Les pirates affirment avoir dérobé :
- Environ 380 000 adresses e-mail,
- Du code source appartenant à des logiciels internes,
- Des contrats et factures confidentiels,
- Des informations concernant des clients et salariés d’Orange Romania.
Le caractère hétérogène de ces données (à la fois techniques, commerciales et personnelles) rend cette fuite particulièrement préoccupante, notamment au regard du RGPD et de la directive NIS 2.
🟠 3 – Des risques pour les personnes concernées
Le vol de données personnelles expose les clients comme les salariés à de multiples risques :
- Phishing personnalisé, fondé sur les données récupérées ;
- Usurpation d’identité, notamment via les adresses e-mail ou informations contractuelles ;
- Cyberfraudes ciblant l’entreprise ou ses partenaires à l’aide des documents subtilisés.
La directive NIS 2, entrée en vigueur en janvier 2023, impose aux opérateurs de services essentiels (comme les fournisseurs de télécoms) de mettre en œuvre des mesures techniques et organisationnelles robustes pour prévenir ce type d’incident.
🟠 4 – Enjeux juridiques : RGPD, notification et responsabilité
D’un point de vue juridique, cet incident soulève plusieurs obligations :
- Notification obligatoire à l’autorité de contrôle (en l’occurrence, l’équivalent roumain de la CNIL) sous 72 heures conformément à l’article 33 du RGPD ;
- Information des personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits (article 34 RGPD) ;
- Évaluation du niveau de sécurité des systèmes conformément aux exigences de l’article 32 du RGPD ;
- Potentielle responsabilité contractuelle vis-à-vis des clients ou partenaires lésés.
Cette affaire pourrait ainsi donner lieu à des enquêtes de l’autorité de protection des données roumaine, voire à des sanctions administratives, si des manquements sont constatés dans la gestion de la sécurité ou des obligations de notification.
🟠 Conclusion
Cet incident rappelle une fois de plus que la conformité au RGPD et à la directive NIS 2 ne constitue pas une simple formalité, mais une nécessité.
Au-delà du risque de sanctions, la capacité d’une entreprise à réagir efficacement à une cyberattaque est désormais un élément important de sa réputation et de la confiance qu’elle inspire à ses clients et partenaires.
Pour en savoir plus / sources :
https://www.it-connect.fr/orange-cyberattaque-des-milliers-de-documents-internes-voles-en-roumanie/
Le 13 novembre 2024, la Défenseure des droits a publié un rapport alarmant sur l’utilisation croissante d’algorithmes au sein des services publics français. Ce document attire l’attention sur les dérives potentielles que pourrait engendrer l’automatisation des décisions administratives. Dans un contexte où les administrations se numérisent à grande vitesse, la question de la protection des droits fondamentaux face aux technologies d’intelligence artificielle devient importante.
Orange, a récemment été victime d’une cyberattaque ciblant sa filiale roumaine. Cette intrusion, confirmé par Orange le 24 février 2025, met en lumière la vulnérabilité persistante des systèmes d’information, même parmi les groupes les plus structurés, et rappelle l’importance d’un encadrement juridique renforcé en matière de cybersécurité.
La protection des données personnelles est au cœur des préoccupations des régulateurs et des citoyens. Récemment, la SNCF s’est retrouvée sous le feu des projecteurs en raison de sa pratique de collecte systématique de la civilité (Madame, Monsieur, âges etc.) de ses clients via son service en ligne SNCF Connect. Une affaire qui a conduit la Cour de justice de l’Union européenne (CJUE) à trancher sur la conformité de cette pratique au regard du RGPD.
Le contrôle des salariés par leur employeur est un sujet sensible encadré par des règles strictes en matière de protection des données personnelles. Si un employeur peut mettre en place des dispositifs de surveillance, il doit impérativement respecter les principes du Règlement général sur la protection des données (RGPD), notamment en matière de proportionnalité, d’information et de sécurité des données. Une récente décision de la CNIL illustre les limites à ne pas franchir.