Cyberattaque chez Orange : des données internes dérobées par des hackers

Orange, a récemment été victime d’une cyberattaque ciblant sa filiale roumaine. Cette intrusion, confirmé par Orange le 24 février 2025, met en lumière la vulnérabilité persistante des systèmes d’information, même parmi les groupes les plus structurés, et rappelle l’importance d’un encadrement juridique renforcé en matière de cybersécurité.

🟠 1 – Une faille exploitée dans une application back-office  

La cyberattaque aurait visé une application interne utilisée par Orange Romania, l’un des principaux opérateurs mobiles en Europe de l’Est.

Selon les premières analyses, une faille de sécurité dans ce système back-office a permis à des acteurs malveillants de s’infiltrer dans les serveurs et d’accéder à des données sensibles.

Le groupe de hackers HellCat, connu pour ses activités de rançongiciels, a revendiqué l’attaque.

🟠 2 – Des données internes et sensibles compromises

Les pirates affirment avoir dérobé :

• Environ 380 000 adresses e-mail,
• Du code source appartenant à des logiciels internes,
• Des contrats et factures confidentiels,
• Des informations concernant des clients et salariés d’Orange Romania.

Le caractère hétérogène de ces données (à la fois techniques, commerciales et personnelles) rend cette fuite particulièrement préoccupante, notamment au regard du RGPD et de la directive NIS 2.

🟠 3 – Des risques pour les personnes concernées

Le vol de données personnelles expose les clients comme les salariés à de multiples risques :

• Phishing personnalisé, fondé sur les données récupérées ;
• Usurpation d’identité, notamment via les adresses e-mail ou informations contractuelles ;
• Cyberfraudes ciblant l’entreprise ou ses partenaires à l’aide des documents subtilisés.

La directive NIS 2, entrée en vigueur en janvier 2023, impose aux opérateurs de services essentiels (comme les fournisseurs de télécoms) de mettre en œuvre des mesures techniques et organisationnelles robustes pour prévenir ce type d’incident.

🟠 4 – Enjeux juridiques : RGPD, notification et responsabilité

D’un point de vue juridique, cet incident soulève plusieurs obligations :

• Notification obligatoire à l’autorité de contrôle (en l’occurrence, l’équivalent roumain de la CNIL) sous 72 heures conformément à l’article 33 du RGPD ;
• Information des personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits (article 34 RGPD) ;
• Évaluation du niveau de sécurité des systèmes conformément aux exigences de l’article 32 du RGPD ;
• Potentielle responsabilité contractuelle vis-à-vis des clients ou partenaires lésés.

Cette affaire pourrait ainsi donner lieu à des enquêtes de l’autorité de protection des données roumaine, voire à des sanctions administratives, si des manquements sont constatés dans la gestion de la sécurité ou des obligations de notification.

🟠 Conclusion

Cet incident rappelle une fois de plus que la conformité au RGPD et à la directive NIS 2 ne constitue pas une simple formalité, mais une nécessité.

Au-delà du risque de sanctions, la capacité d’une entreprise à réagir efficacement à une cyberattaque est désormais un élément important de sa réputation et de la confiance qu’elle inspire à ses clients et partenaires.

Pour en savoir plus / sources :

https://www.usine-digitale.fr/article/orange-victime-d-une-cyberattaque-des-hackers-revendiquent-le-vol-de-documents-internes.N2227935

https://www.techradar.com/pro/security/orange-confirms-it-suffered-breach-after-hacker-leaks-company-documents

https://www.it-connect.fr/orange-cyberattaque-des-milliers-de-documents-internes-voles-en-roumanie/