Le week-end du 23 et 24 novembre 2024, un cybercriminel a affirmé avoir piraté la Banque de France et être en possession de données sensibles concernant ses clients et ses salariés. En réponse à ces déclarations, l’institution a précisé qu’aucune « attaque sur le système d’information sécurisé » n’avait été constatée, tout en reconnaissant une intrusion sur son extranet.
🟠 1 – Une intrusion confirmée mais contenue
La Banque de France a confirmé qu’une intrusion extérieure avait été détectée sur son extranet, un réseau distinct de son système central et normalement moins critique en matière de sécurité des données. L’institution a toutefois assuré que ses infrastructures internes, notamment celles traitant des informations bancaires et des données personnelles sensibles, étaient restées intactes.
Cet incident rappelle que même les institutions les plus protégées restent exposées aux cyberattaques. La Banque de France précise avoir immédiatement pris des mesures pour contenir l’incident et renforcer ses dispositifs de sécurité.
🟠 2 – Absence de fuite de données selon la Banque de France
Malgré les revendications du cybercriminel, qui affirme détenir des données sensibles, la Banque de France assure qu’aucune fuite n’a été constatée. Cette affirmation repose sur les analyses menées par ses experts en cybersécurité et sur les premières conclusions de l’enquête interne.
Toutefois, dans un contexte où les cybercriminels exploitent parfois des vulnérabilités insoupçonnées, la prudence reste de mise. Il sera nécessaire de surveiller étroitement les éventuelles divulgations futures qui pourraient contredire cette position officielle.
🟠 3 – Un rappel des obligations en matière de cybersécurité et de RGPD
En cas de compromission de données personnelles, le Règlement Général sur la Protection des Données (RGPD) impose aux entreprises et institutions concernées d’en informer la Commission Nationale de l’Informatique et des Libertés (CNIL) dans un délai de 72 heures. Si cette fuite présente un risque pour les personnes concernées, elles doivent également être informées.
Dans ce cas précis, la Banque de France n’a pas fait de déclaration à la CNIL, ce qui semble indiquer qu’aucune fuite de données personnelles n’a été détectée. Toutefois, l’affaire soulève des questions sur les dispositifs de protection mis en place et sur la nécessité de renforcer la vigilance face à la menace croissante des cyberattaques.
🟠 4 – La menace persistante des cyberattaques pour le secteur financier
Les banques et institutions financières sont des cibles de choix pour les cybercriminels, qui cherchent à accéder à des informations sensibles à des fins frauduleuses ou de chantage. Récemment, plusieurs attaques contre des organismes bancaires ont rappelé que la menace évolue en permanence et que les stratégies de cybersécurité doivent s’adapter en conséquence.
Cet incident rappelle l’importance pour toutes les entreprises, et en particulier celles du secteur financier, de renforcer leurs dispositifs de protection : segmentation des réseaux, audits réguliers, détection précoce des intrusions et sensibilisation des employés aux risques cyber.
🟠 Conclusion
Dans un contexte où la réglementation européenne impose des obligations strictes en matière de cybersécurité et de protection des données, cet incident souligne la nécessité pour toutes les organisations de renforcer leurs dispositifs de sécurité et d’anticiper les risques liés aux cyberattaques.
Pour en savoir plus / sources :
https://www.nlto.fr/cybersecurite-des-donnees-de-la-banque-de-france-seraient-en-danger/
Le 23 avril 2025, la Commission européenne a en prononcé les premières sanctions au titre du Digital Markets Act (DMA). Deux géants américains du numérique, Apple et Meta, se voient infliger des amendes respectives de 500 millions d’euros et 200 millions d’euros pour manquements aux nouvelles obligations européennes de régulation des marchés numériques. Un signal fort adressé aux gatekeepers : l’ère du DMA est désormais entrée dans sa phase d’application concrète.
Dans un arrêt du 9 avril 2025, la Cour de cassation a apporté une précision importante sur le régime juridique applicable à l’exploitation des fichiers de journalisation informatiques (logs), et notamment aux adresses IP des salariés, dans le cadre d’une procédure disciplinaire. Une décision qui interpelle les employeurs : faut-il désormais obtenir le consentement du salarié pour pouvoir utiliser son adresse IP à des fins de contrôle ?
Alors que le Règlement général sur la protection des données (RGPD) fêtera bientôt ses sept ans d’application, des voix s’élèvent pour adapter le texte aux réalités économiques des très petites et moyennes entreprises (TPE – PME). L’objectif : réconcilier protection des données et compétitivité, tout en tenant compte des moyens limités de ces structures.
L’Autorité de la concurrence a récemment sanctionné Apple pour avoir abusé de sa position, en raison de la manière dont la firme californienne a mis en œuvre sa fonctionnalité « App Tracking Transparency » (ATT). Introduite en avril 2021 avec iOS 14.5, cette fonctionnalité visait à renforcer la transparence sur le suivi publicitaire, mais sa mise en œuvre a soulevé de vives critiques.