Cybersécurité : la Banque de France reconnaît une intrusion mais dément une fuite de données

Le week-end du 23 et 24 novembre 2024, un cybercriminel a affirmé avoir piraté la Banque de France et être en possession de données sensibles concernant ses clients et ses salariés. En réponse à ces déclarations, l’institution a précisé qu’aucune « attaque sur le système d’information sécurisé » n’avait été constatée, tout en reconnaissant une intrusion sur son extranet.

🟠 1 – Une intrusion confirmée mais contenue

La Banque de France a confirmé qu’une intrusion extérieure avait été détectée sur son extranet, un réseau distinct de son système central et normalement moins critique en matière de sécurité des données. L’institution a toutefois assuré que ses infrastructures internes, notamment celles traitant des informations bancaires et des données personnelles sensibles, étaient restées intactes.

Cet incident rappelle que même les institutions les plus protégées restent exposées aux cyberattaques. La Banque de France précise avoir immédiatement pris des mesures pour contenir l’incident et renforcer ses dispositifs de sécurité.

🟠 2 – Absence de fuite de données selon la Banque de France

Malgré les revendications du cybercriminel, qui affirme détenir des données sensibles, la Banque de France assure qu’aucune fuite n’a été constatée. Cette affirmation repose sur les analyses menées par ses experts en cybersécurité et sur les premières conclusions de l’enquête interne.

Toutefois, dans un contexte où les cybercriminels exploitent parfois des vulnérabilités insoupçonnées, la prudence reste de mise. Il sera nécessaire de surveiller étroitement les éventuelles divulgations futures qui pourraient contredire cette position officielle.

🟠 3 – Un rappel des obligations en matière de cybersécurité et de RGPD

En cas de compromission de données personnelles, le Règlement Général sur la Protection des Données (RGPD) impose aux entreprises et institutions concernées d’en informer la Commission Nationale de l’Informatique et des Libertés (CNIL) dans un délai de 72 heures. Si cette fuite présente un risque pour les personnes concernées, elles doivent également être informées.

Dans ce cas précis, la Banque de France n’a pas fait de déclaration à la CNIL, ce qui semble indiquer qu’aucune fuite de données personnelles n’a été détectée. Toutefois, l’affaire soulève des questions sur les dispositifs de protection mis en place et sur la nécessité de renforcer la vigilance face à la menace croissante des cyberattaques.

🟠 4 – La menace persistante des cyberattaques pour le secteur financier

Les banques et institutions financières sont des cibles de choix pour les cybercriminels, qui cherchent à accéder à des informations sensibles à des fins frauduleuses ou de chantage. Récemment, plusieurs attaques contre des organismes bancaires ont rappelé que la menace évolue en permanence et que les stratégies de cybersécurité doivent s’adapter en conséquence.

Cet incident rappelle l’importance pour toutes les entreprises, et en particulier celles du secteur financier, de renforcer leurs dispositifs de protection : segmentation des réseaux, audits réguliers, détection précoce des intrusions et sensibilisation des employés aux risques cyber.

🟠 Conclusion

Dans un contexte où la réglementation européenne impose des obligations strictes en matière de cybersécurité et de protection des données, cet incident souligne la nécessité pour toutes les organisations de renforcer leurs dispositifs de sécurité et d’anticiper les risques liés aux cyberattaques.

 

Pour en savoir plus / sources :

https://www.usine-digitale.fr/article/cybersecurite-la-banque-de-france-reconnait-une-intrusion-mais-dement-une-fuite-de-donnees.N2223318

https://www.nlto.fr/cybersecurite-des-donnees-de-la-banque-de-france-seraient-en-danger/

https://www.ouest-france.fr/societe/cyberattaque/la-banque-de-france-dement-avoir-subi-une-cyberattaque-sur-le-systeme-dinformation-securise-d246622a-ab54-11ef-8248-4f6efd927e57

L’intelligence artificielle (IA) transforme notre quotidien, mais son développement repose souvent sur l’exploitation de données personnelles. Dans ce contexte, la CNIL a publié, le 19 juin 2025, de nouvelles recommandations pour encadrer l’usage de la base légale de l’« intérêt légitime » pour le développement de systèmes d’intelligence artificielle. Ces recommandations visent à concilier innovation technologique et respect des droits fondamentaux. Ainsi, deux nouvelles fiches pratiques ont été publiées sur l'intelligence artificielle. La première précise les conditions d'usage de la base légale de l'intérêt légitime pour développer un système d'IA (I) et la seconde traite plus spécifiquement de la collecte de données via "moissonnage" ou "web scraping (II)

Le European Accessibility Act (EAA) – ou directive européenne sur l'accessibilité – entre en application le 28 juin 2025. Ce texte vise à renforcer l’égalité d’accès aux biens et services pour les personnes en situation de handicap, en imposant des obligations nouvelles aux entreprises privées. Il s’agit d’un changement profond dans la manière de concevoir et de fournir les produits et services numériques sur le marché européen.

Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste.

Dans un arrêt du 22 mai 2025, la deuxième chambre civile de la Cour de cassation s’est exprimée sur une question qu’elle n’avait encore jamais tranché, et qui divisait les Cours d’appel, celle de savoir si le délai de huit jours visé à l’article 857 du Code de procédure civile s’appliquait aux procédures introduites devant le Président du Tribunal de commerce en matière de rétractation d’ordonnance sur requête. Dans cette affaire, afin de tenter de justifier l’existence d’actes de concurrence déloyale, une requête sur le fondement de l’article 145 du Code de procédure civile avait été déposée devant le président du Tribunal de commerce, ce dernier ayant ensuite été saisi d’une demande de rétractation de l’ordonnance prononcée.