Le week-end du 23 et 24 novembre 2024, un cybercriminel a affirmé avoir piraté la Banque de France et être en possession de données sensibles concernant ses clients et ses salariés. En réponse à ces déclarations, l’institution a précisé qu’aucune « attaque sur le système d’information sécurisé » n’avait été constatée, tout en reconnaissant une intrusion sur son extranet.
🟠 1 – Une intrusion confirmée mais contenue
La Banque de France a confirmé qu’une intrusion extérieure avait été détectée sur son extranet, un réseau distinct de son système central et normalement moins critique en matière de sécurité des données. L’institution a toutefois assuré que ses infrastructures internes, notamment celles traitant des informations bancaires et des données personnelles sensibles, étaient restées intactes.
Cet incident rappelle que même les institutions les plus protégées restent exposées aux cyberattaques. La Banque de France précise avoir immédiatement pris des mesures pour contenir l’incident et renforcer ses dispositifs de sécurité.
🟠 2 – Absence de fuite de données selon la Banque de France
Malgré les revendications du cybercriminel, qui affirme détenir des données sensibles, la Banque de France assure qu’aucune fuite n’a été constatée. Cette affirmation repose sur les analyses menées par ses experts en cybersécurité et sur les premières conclusions de l’enquête interne.
Toutefois, dans un contexte où les cybercriminels exploitent parfois des vulnérabilités insoupçonnées, la prudence reste de mise. Il sera nécessaire de surveiller étroitement les éventuelles divulgations futures qui pourraient contredire cette position officielle.
🟠 3 – Un rappel des obligations en matière de cybersécurité et de RGPD
En cas de compromission de données personnelles, le Règlement Général sur la Protection des Données (RGPD) impose aux entreprises et institutions concernées d’en informer la Commission Nationale de l’Informatique et des Libertés (CNIL) dans un délai de 72 heures. Si cette fuite présente un risque pour les personnes concernées, elles doivent également être informées.
Dans ce cas précis, la Banque de France n’a pas fait de déclaration à la CNIL, ce qui semble indiquer qu’aucune fuite de données personnelles n’a été détectée. Toutefois, l’affaire soulève des questions sur les dispositifs de protection mis en place et sur la nécessité de renforcer la vigilance face à la menace croissante des cyberattaques.
🟠 4 – La menace persistante des cyberattaques pour le secteur financier
Les banques et institutions financières sont des cibles de choix pour les cybercriminels, qui cherchent à accéder à des informations sensibles à des fins frauduleuses ou de chantage. Récemment, plusieurs attaques contre des organismes bancaires ont rappelé que la menace évolue en permanence et que les stratégies de cybersécurité doivent s’adapter en conséquence.
Cet incident rappelle l’importance pour toutes les entreprises, et en particulier celles du secteur financier, de renforcer leurs dispositifs de protection : segmentation des réseaux, audits réguliers, détection précoce des intrusions et sensibilisation des employés aux risques cyber.
🟠 Conclusion
Dans un contexte où la réglementation européenne impose des obligations strictes en matière de cybersécurité et de protection des données, cet incident souligne la nécessité pour toutes les organisations de renforcer leurs dispositifs de sécurité et d’anticiper les risques liés aux cyberattaques.
Pour en savoir plus / sources :
https://www.nlto.fr/cybersecurite-des-donnees-de-la-banque-de-france-seraient-en-danger/
Le 13 novembre 2024, la Défenseure des droits a publié un rapport alarmant sur l’utilisation croissante d’algorithmes au sein des services publics français. Ce document attire l’attention sur les dérives potentielles que pourrait engendrer l’automatisation des décisions administratives. Dans un contexte où les administrations se numérisent à grande vitesse, la question de la protection des droits fondamentaux face aux technologies d’intelligence artificielle devient importante.
Orange, a récemment été victime d’une cyberattaque ciblant sa filiale roumaine. Cette intrusion, confirmé par Orange le 24 février 2025, met en lumière la vulnérabilité persistante des systèmes d’information, même parmi les groupes les plus structurés, et rappelle l’importance d’un encadrement juridique renforcé en matière de cybersécurité.
La protection des données personnelles est au cœur des préoccupations des régulateurs et des citoyens. Récemment, la SNCF s’est retrouvée sous le feu des projecteurs en raison de sa pratique de collecte systématique de la civilité (Madame, Monsieur, âges etc.) de ses clients via son service en ligne SNCF Connect. Une affaire qui a conduit la Cour de justice de l’Union européenne (CJUE) à trancher sur la conformité de cette pratique au regard du RGPD.
Le contrôle des salariés par leur employeur est un sujet sensible encadré par des règles strictes en matière de protection des données personnelles. Si un employeur peut mettre en place des dispositifs de surveillance, il doit impérativement respecter les principes du Règlement général sur la protection des données (RGPD), notamment en matière de proportionnalité, d’information et de sécurité des données. Une récente décision de la CNIL illustre les limites à ne pas franchir.