Vigilance et conseils pratiques
TeamViewer enquête sur une cyberattaque de son réseau interne
TeamViewer, la société éditant le logiciel d’accès à distance, a détecté une intrusion dans son réseau interne. L’entreprise mène actuellement une enquête et a pris des mesures de remédiation. TeamViewer a rassuré ses clients en précisant que son environnement IT interne est séparé de celui des produits, assurant ainsi qu’il n’y a pas de preuve que les données des clients ou le logiciel soient affectés. Cette intrusion a été rapportée initialement sur Mastodon et relayée par des organismes de sécurité, indiquant que des groupes APT, comme APT29, ciblent activement les services de TeamViewer.
La CNIL, Cybermalveillance.gouv.fr et l’Unaf éditent des guides pratiques
Dans un effort conjoint pour améliorer la sécurité en ligne des familles et des seniors, Cybermalveillance.gouv.fr, la CNIL et l’Unaf ont publié deux dépliants intitulés « Cybersécurité : ayez les bons réflexes ». Ces ressources, spécialement conçues pour sensibiliser et éduquer ces publics vulnérables, visent à leur fournir les connaissances et outils nécessaires pour naviguer en toute sécurité sur Internet. Les dépliants sont structurés en trois sections : identifier les menaces, conseils pratiques pour sécuriser ses appareils et informations personnelles, et ressources complémentaires pour approfondir ses connaissances et se tenir informé des dernières menaces.
Nouvelles régulations pour l’intermédiation de données : exigences et conséquences du DGA
Depuis le 24 septembre 2023, les fournisseurs de services d’intermédiation de données au sein de l’Union européenne doivent se conformer au Data Governance Act (DGA). Ce règlement, entré en vigueur le 23 juin 2022, vise à encadrer l’activité de ces fournisseurs pour assurer un échange de données fiable. La France a adapté sa législation avec la loi SREN adoptée le 21 mai 2024 pour garantir l’application effective du DGA.
Qui est concerné ?
Le DGA s’applique à toutes les entreprises offrant des services d’intermédiation de données dans l’UE, y compris les plateformes d’échange de données B2B et les systèmes de gestion de données personnelles. Sont exclus les services qui agrègent, enrichissent ou transforment les données sans mise en relation commerciale directe, les services d’intermédiation de contenus protégés par le droit d’auteur, les services de partage de données au sein d’un groupe fermé, et ceux proposés par des organismes publics sans but lucratif.
Obligations des entreprises :
- Notification d’activité : Les entreprises doivent notifier leur activité pour garantir la gouvernance des données fondée sur un échange digne de confiance.
- Pratiques interdites : Les fournisseurs ne peuvent pas réutiliser les données pour leur propre compte ni lier leurs conditions commerciales à l’utilisation d’autres services.
- Sécurité des données : Des mesures de sécurité appropriées pour le stockage, le traitement et la transmission de données non personnelles doivent être mises en place. Il est également obligatoire de prévenir les pratiques frauduleuses et d’informer les détenteurs de données en cas d’incident.
Les entreprises conformes aux exigences du DGA pourront utiliser un label spécifique indiquant leur reconnaissance au sein de l’Union européenne.
Sanctions en cas de non-conformité : En France, l’Arcep est l’autorité compétente pour sanctionner les violations du DGA. Les sanctions peuvent inclure la suspension ou la cessation des services et des amendes pouvant atteindre 3% du chiffre d’affaires mondial ou 150 000 euros, voire 5% du chiffre d’affaires mondial ou 375 000 euros en cas de récidive. Les entreprises doivent se mettre en conformité avec ces réglementations d’ici au 24 septembre 2025.
