Le Digital Markets Act (DMA) de l’Union européenne est entré en vigueur avec pour conséquence d’entraîner Google à réaliser une série de modifications conséquentes pour se conformer à cette nouvelle législation.

Le règlement DMA du 14 septembre 2022 est entré définitivement en vigueur le 6 mars 2024. Il contient une vingtaine d’obligations et d’interdictions pour les géants du numérique (obligation de rendre les messageries instantanées interopérables avec les concurrents, interdiction d’imposer un navigateur web ou un moteur de recherche par défaut ou de l’auto-préférence…). Son objectif : lutter contre les pratiques anticoncurrentielles et corriger les déséquilibres de la domination de ces géants sur le marché numérique européen.

Promouvoir une concurrence équitable

Pour se conformer à ces nouvelles obligations, Google vient de dévoiler une série de modifications. Il prévoit ainsi la refonte de ses résultats de recherche, qui favoriseront désormais les sites de comparaison, et la modification de l’intégration de services dans les résultats pour promouvoir une concurrence équitable. La gestion des données personnelles et l’interaction entre les différents services de l’entreprise vont également évoluer. Les utilisateurs pourront décider s’ils souhaitent lier leurs services de Google, via de nouveaux bandeaux de consentement. Autre exemple, sur Android, il sera désormais possible d’utiliser des applications et des magasins d’applications tiers.

Article publié le 19 mars 2024 – © Les Echos Publishing 2024 – Crédit photo : ALL RIGHTS RESERVED

La dernière édition du Panorama de la cybermenace, réalisé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), fait état d’un niveau de menace informatique toujours en augmentation.

Selon le panorama de la cybermenace, l’espionnage s’est maintenu à un niveau élevé en 2023, avec toutefois une augmentation importante du ciblage des individus et des structures non gouvernementales qui créent, hébergent ou transmettent des données sensibles. Autres tendances relevées : la recrudescence des attaques contre des téléphones portables professionnels et personnels visant des individus ciblés ou encore de celles réalisées par des modes opératoires associés au gouvernement russe contre des organisations en France.

Augmentation des opérations de déstabilisation

Alors que le contexte géopolitique est tendu, le panorama note également une augmentation des opérations de déstabilisation pour promouvoir un discours politique, entraver l’accès à des contenus en ligne ou porter atteinte à l’image d’une organisation. Enfin, sans surprise, l’ANSSI relève une évolution notable dans la structure et les méthodes des attaquants qui améliorent sans cesse leurs techniques pour ne pas être détectés, suivis ou identifiés, et ciblent toujours les faiblesses techniques (mauvaises pratiques, retards dans l’application de correctifs, absence de chiffrement…) pour s’introduire sur les réseaux.

Pour consulter le panorama : www.cert.ssi.gouv.fr/

Article publié le 12 mars 2024 – © Les Echos Publishing 2024 – Crédit photo : VectorFusionArt / Getty Images

Le règlement sur les services numériques (DSA) est entré en vigueur le 17 février 2024. Il encadre les activités des plates-formes pour protéger les Européens des pratiques illégales comme la contrefaçon ou la désinformation.

Le règlement DSA (Digital Services Act) du 19 octobre 2022 rappelle que ce qui est illégal hors ligne l’est aussi en ligne. Il fixe donc plusieurs règles pour responsabiliser les plates-formes numériques et lutter contre la diffusion de contenus illicites ou préjudiciables (attaques racistes, images pédopornographiques, désinformation…), ou la vente de produits illégaux (drogues, contrefaçons…). Sont notamment visés les fournisseurs d’accès à internet (FAI), les services de cloud, les marketplaces, les boutiques d’applications, les réseaux sociaux, les plates-formes de partage de contenus, les plates-formes de voyage et d’hébergement, les grands moteurs de recherche…

Signaler facilement les contenus illicites

Plusieurs mesures sont prévues par le DSA, en fonction de la nature des services et de la taille des plates-formes, auxquelles elles doivent se conformer. Elles doivent, par exemple, proposer aux internautes un outil leur permettant de signaler facilement les contenus illicites, puis les retirer rapidement ou en bloquer l’accès. Ou encore prévoir un système de traitement des réclamations permettant aux utilisateurs dont le compte a été suspendu ou résilié de contester cette décision. La publicité ciblée pour les mineurs est aussi désormais interdite sur toutes les plates-formes. Des astreintes et sanctions pourront être prononcées en cas de non-respect.

Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE

Article publié le 06 mars 2024 – © Les Echos Publishing 2024 – Crédit photo : Rawf8 / Getty Images

Support des services de télécommunications et notamment d’accès fixe à internet, la fibre optique fait l’objet d’une nouvelle édition de l’Observatoire sur la qualité de ses réseaux en France.

La qualité de l’exploitation des réseaux en fibre optique (FttH) est cruciale compte tenu des services qui en sont attendus. Pour la mesurer, et pour résoudre les difficultés observées, l’Arcep a lancé, en 2019, différents travaux avec les opérateurs. Ces derniers ont présenté un plan d’action Qualité de la fibre en septembre 2022, dont le suivi est assuré par l’Arcep. En juillet 2023, elle a ainsi proposé un observatoire pour évaluer les travaux engagés sur la qualité des réseaux en fibre optique.

Taux de pannes et taux d’échecs au raccordement

L’observatoire propose deux types d’indicateurs collectés auprès des opérateurs : le taux de pannes et le taux d’échecs au raccordement. Concernant les taux de pannes, les résultats sont stables par rapport au premier observatoire. Pour les taux d’échecs de raccordement, la tendance est, en revanche, à l’amélioration sur certains territoires. Mais cette évolution doit être confirmée sur la durée, les indicateurs pouvant pâtir de variations saisonnières. À noter que les prochaines éditions de l’observatoire devraient intégrer des indicateurs complémentaires, notamment pour mieux rendre compte de l’expérience des utilisateurs et mesurer la qualité des processus industriels réalisés par les opérateurs commerciaux lors des raccordements.

Pour consulter l’Observatoire : www.arcep.fr

Article publié le 27 février 2024 – © Les Echos Publishing 2024 – Crédit photo : Yuichiro Chino

Comme tous les ans, la CNIL a défini des thématiques prioritaires pour ses contrôles. Cette année, il s’agira des données des mineurs, des fichiers liés aux Jeux olympiques ou encore des tickets de caisse et des programmes de fidélité dématérialisés.

Chaque année, ce sont quelques centaines de contrôles (340 en 2023) qui sont effectués par la CNIL, suite à des plaintes ou à des signalements, mais aussi en lien avec l’actualité. Pour orienter sa politique de contrôle volontaire (environ 30 % des contrôles effectués), elle définit chaque année plusieurs sujets prioritaires. Pour l’année 2024, la collecte de données dans le cadre des Jeux olympiques et paralympiques sera, sans surprise, dans son collimateur. Cet événement à envergure internationale va, en effet, attirer plusieurs millions de spectateurs et des milliers d’athlètes, ce qui va nécessiter la mise en place de dispositifs importants de sécurité. La CNIL compte bien vérifier le strict usage qui en sera fait, ainsi que celui des QR Codes pour les zones à accès restreints, des habilitations d’accès, de l’utilisation de caméras augmentées ou encore de la collecte de données dans le cadre de la billetterie.

Respect du recueil du consentement

Autre sujet de contrôle retenu en 2024 : les données des mineurs collectées en ligne, sur les applications et sur les sites prisés des jeunes, avec vérification notamment si des mécanismes de contrôle de l’âge sont mis en œuvre, si des mesures de sécurité sont prévues et si le principe de minimisation des données est respecté. La CNIL souhaite également évaluer des programmes de fidélité et tickets de caisse dématérialisés, notamment pour vérifier le respect du recueil du consentement avant toute réutilisation des données à des fins de ciblage publicitaire.

Pour en savoir plus : www.cnil.fr

Article publié le 19 février 2024 – © Les Echos Publishing 2024 – Crédit photo : Yuichiro Chino

En 2018, le gouvernement et l’Arcep lançaient le mobile, une série d’engagements pris par les opérateurs pour accélérer la couverture mobile des territoires avec des obligations à échéance 2031. L’Autorité vient de publier un point d’étape.

Le New Deal mobile entend « généraliser une couverture mobile de qualité pour tous les Français », tant en service très haut débit mobile (4G) qu’en voix et SMS (2G/3G). Selon l’Arcep, le nombre de sites équipés en 4G a plus que doublé entre fin 2017 et fin 2022. Les opérateurs mobiles ont déployé la 4G sur 9 600 à 15 500 sites selon les opérateurs, passant ainsi la part du territoire couvert de 45 % début 2018 à 88 % au 3e trimestre 2023. La part du territoire en zone blanche est, quant à elle, passée de 11 % à 1,9 %. Seuls 6 départements métropolitains disposent encore d’une couverture inférieure à 90 %.

Les indicateurs voix et SMS progressent aussi

Concernant le service voix et SMS, 99,5 % à 99,7 % de la population (selon l’opérateur) dispose désormais d’une couverture de qualité (contre 98,6 % à 99,3 % fin 2020). Les indicateurs de qualité vocale ont progressé également entre 2019 et 2023, et ce dans l’ensemble des zones (zones rurales, zones intermédiaires et zones denses), de +8 % et +10 %. Les débits sont également en hausse : entre 2018 et 2023, le nombre de mesures ayant relevé un débit descendant à au moins 3 Mbit/s est passé de 77 % à 88 %. Tandis que les mesures supérieures à 8 Mbit/s ont progressé fortement, passant de 64 % à 82 %.

Pour en savoir plus : www.arcep.fr

Article publié le 13 février 2024 – © Les Echos Publishing 2024 – Crédit photo : Anna Berkut

Pour la 9ème année consécutive, le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) livre les résultats de son enquête annuelle sur la perception de la cybersécurité et de ses enjeux par les entreprises.

Depuis 2015, le CESIN publie chaque année son baromètre annuel réalisé par OpinionWay après sondage de Directeurs Cybersécurité et Responsables Sécurité des Systèmes d’Information (RSSI) membres de son association. Selon les derniers chiffres, le nombre des cyberattaques réussies est stable (49 %), avec principalement des attaques par phishing (60 %, mais en baisse de 14 %), et une diminution des arnaques au Président (28 %, soit -13 % par rapport à l’année précédente). Les attaques par déni de service sont, en revanche, en augmentation.

Plus de 15 solutions ou services installés

Le baromètre relève également que pour 65 % des entreprises, les attaques entraînent des conséquences sur le business, comme des perturbations de production (24 %) ou encore une indisponibilité du site web pendant une période significative (22 %). Pourtant, les entreprises ont confiance dans les solutions et services de sécurité qu’elles mettent en place (87 %). Sachant que chacune compte en moyenne plus de 15 solutions ou services installés, notamment des dispositifs EDR (90 %), Zero Trust (76 %), VOC (Vulnerability Operation Center 50 %) ou CAASM (Cyber Asset Attack Surface Management 34 %). 7 entreprises sur 10 ont également des contrats de cyberassurance.

Pour en savoir plus : www.cesin.fr

Article publié le 07 février 2024 – © Les Echos Publishing 2024 – Crédit photo : Yudram_TA / Getty Images

Pour accompagner les entreprises qui s’interrogent sur les offres concernant l’informatique en nuage (cloud), la CNIL propose deux premières fiches sur le recours au chiffrement et l’utilisation d’outils de sécurité et de performance.

Les entreprises doivent obligatoirement sécuriser la gestion des données personnelles qu’elles récupèrent, sous peine de sanctions prononcées par la CNIL. En 2022, près d’un tiers des sanctions ont été prononcées par la CNIL pour des manquements à cette obligation. Or, de plus en plus d’entreprises font appel à des fournisseurs de solutions informatiques en nuage (cloud), ce qui ne les exonère pas de cette obligation. Elles sont donc amenées à s’interroger face aux nombreuses offres existantes sur le marché avec des prestations différentes. Pour les aider dans leur choix et leur permettre de trouver l’approche en matière de sécurité la plus adaptée à leurs besoins, la CNIL vient de publier deux fiches de conseils.

Des outils pour sécuriser le cloud

La première fiche est consacrée au chiffrement des données sur le cloud. Elle détaille les différents types de chiffrement (chiffrement au repos, chiffrement en transit, chiffrement en traitement, chiffrement de bout en bout…) et indique pour chacun les enjeux et problématiques spécifiques. La deuxième fiche s’intéresse aux outils pour sécuriser un service cloud. Sont ainsi passés en revue les différents produits de sécurité nécessaires pour sécuriser un service cloud, avec les points de vigilance pour ces différents produits. D’autres fiches devraient suivre, toujours dans l’objectif de donner des clés de compréhension aux entreprises pour mieux choisir leurs solutions numériques.

www.cnil.fr/

Article publié le 01 février 2024 – © Les Echos Publishing 2024 – Crédit photo : Andriy Onufriyenko

Une attaque informatique peut avoir des conséquences financières et matérielles considérables. Pour accompagner les entreprises dans une remédiation réussie, l’ANSSI vient de publier un corpus de guides dédiés.

Expliciter les enjeux de la remédiation, proposer les principaux piliers doctrinaux, fixer les bases de l’organisation et des actions techniques associées, tels sont les objectifs que poursuivent les Guides proposés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Selon elle, même si la remédiation d’un incident cyber majeur modifie pendant plusieurs semaines, voire pendant plusieurs mois, le cycle de vie du système d’information et touche de nombreux métiers, une action bien pilotée peut donner l’opportunité à l’entreprise de s’améliorer significativement.

Un guide pour chaque étape

C’est pourquoi l’ANSSI vient de publier trois guides téléchargeables gratuitement qui s’articulent autour de 3 étapes :
– le volet stratégique : les enjeux de la remédiation pour une organisation affectée par un incident de sécurité ;
– le volet opérationnel : les principes du pilotage et de la mise en œuvre du projet de remédiation ;
– le volet technique : les exigences techniques pour une opération spécifique dans un projet de remédiation.

Ces guides intègrent les retours de la communauté cyber provenant d’un appel à commentaires public. Ils devraient s’enrichir progressivement de nouveaux contenus.

Les guides sont téléchargeables sur le site cyber.gouv.fr/

Article publié le 23 janvier 2024 – © Les Echos Publishing 2024 – Crédit photo : Sy