Cyberlégislation

Cet article publié sur le site SafeBreach explique les nouvelles exigences imposées par l’Acte de Résilience Opérationnelle Numérique (DORA) de l’Union Européenne, qui vise à renforcer la résilience opérationnelle des institutions financières contre les menaces cybernétiques. La mise en application complète de cette réglementation commence en janvier 2025. DORA impose aux organisations de mettre en place des contrôles basés sur cinq piliers clés : la gestion des risques TIC, le rapport d’incidents, les tests de résilience opérationnelle, la gestion des risques tiers, et le partage d’informations. Ces mesures s’appliquent globalement, affectant toute entité fournissant des services TIC aux entreprises financières de l’UE. ...

L’article publié par South China Morning Post (scmp.com) rapporte que la Chine a officiellement introduit un système national de cyber-identification controversé. Ce système a pour objectif de protéger la sécurité des informations d’identité des citoyens. Il est soutenu par le Ministère de la Sécurité Publique, l’Administration du Cyberespace de Chine, ainsi que quatre autres autorités. Le système utilise une application qui génère une identification virtuelle chiffrée composée de lettres et de chiffres aléatoires, permettant ainsi de ne pas divulguer le nom réel et le numéro d’identification des utilisateurs lors de la vérification des comptes en ligne. Actuellement, l’utilisation de cette cyber-identification n’est pas obligatoire pour les utilisateurs d’internet. ...

L’article de theregister.com rapporte une audition devant le Sénat français où des représentants de Microsoft ont discuté des implications du Cloud Act américain sur la souveraineté des données en France et dans l’Union européenne. Lors de cette audition, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a déclaré que Microsoft ne peut pas garantir que les données des clients en France ne seront pas transmises au gouvernement américain si celui-ci en fait la demande en vertu du Cloud Act. Ce dernier permet au gouvernement des États-Unis d’obtenir des données numériques détenues par des entreprises américaines, même si elles sont stockées à l’étranger. ...

Cet article d’actualité met en lumière les mesures que le Royaume-Uni prévoit de mettre en œuvre pour lutter contre la menace des ransomwares. Ces mesures, qui font suite à une consultation publique, visent à protéger les entreprises et les services critiques. Les organismes du secteur public et les opérateurs d’infrastructures nationales critiques, tels que le NHS, les conseils locaux et les écoles, seraient interdits de payer des rançons aux criminels. Cette proposition a reçu le soutien de près de trois quarts des répondants à la consultation. ...

L’article publié par socket.dev met en lumière les implications du Cyber Resilience Act (CRA) de l’UE, qui entrera en vigueur début 2027, sur les mainteneurs de logiciels open source. Ce règlement impose aux fabricants de produits numériques vendus dans l’UE de mettre en place un suivi des vulnérabilités, des capacités de réponse aux incidents et des déclarations de la chaîne d’approvisionnement, y compris un Software Bill of Materials (SBOM). Les entreprises utilisant des composants open source, tels que libcurl, doivent effectuer une diligence raisonnable sur leurs dépendances, ce qui conduit à l’envoi de questionnaires de sécurité formels aux mainteneurs en amont. ...

L’actualité publiée le 5 juillet 2025 met en avant la publication par ENISA de guides destinés à soutenir l’application de la directive NIS 2. Ces guides sont conçus pour aider les organisations et les professionnels du secteur à évaluer correctement l’état d’implémentation de la gestion des risques cyber. La directive NIS 2 vise à renforcer la cybersécurité au sein de l’Union européenne, en établissant des exigences plus strictes pour les entités critiques. Les guides d’ENISA fournissent des outils pratiques pour planifier et optimiser les choix stratégiques et opérationnels en matière de cybersécurité. ...

Selon un article publié par The Guardian, le gouvernement danois prévoit de modifier la législation sur le droit d’auteur pour protéger les citoyens contre la création et la diffusion de deepfakes. Cette initiative vise à garantir que chacun ait le droit à son propre corps, ses traits faciaux et sa voix. Le ministre de la Culture danois, Jakob Engel-Schmidt, a annoncé que le projet de loi, soutenu par une large majorité parlementaire, sera soumis à consultation avant la pause estivale et présenté à l’automne. Le ministre espère que cette législation enverra un message clair sur le droit à l’intégrité personnelle face aux avancées rapides de la technologie de l’IA générative. ...

L’article de The Record rapporte que plusieurs sénateurs démocrates ont interpellé la secrétaire à la Sécurité intérieure, Kristi Noem, pour rétablir le Cyber Safety Review Board (CSRB). Ce conseil est important pour poursuivre les enquêtes sur des cyberattaques ayant des liens avec la Chine. Les sénateurs soulignent l’importance de ce conseil pour comprendre et répondre aux menaces croissantes en matière de cybersécurité. Le CSRB avait précédemment joué un rôle clé dans l’analyse des attaques et la formulation de recommandations pour améliorer la sécurité nationale. ...

Selon un article publié le 29 mai 2025, l’Australie a introduit une nouvelle législation qui oblige certaines entreprises à déclarer les paiements effectués suite à des attaques par ransomware. À partir du 30 mai 2025, les entreprises australiennes ayant un chiffre d’affaires annuel de 3 millions de dollars ou plus, ainsi que certaines entités responsables d’infrastructures critiques, devront signaler au gouvernement tout paiement de rançon. Cette obligation s’applique même si le paiement est effectué en cryptomonnaie, en informations ou en services plutôt qu’en monnaie australienne. ...

Selon une annonce du département du Trésor américain, Funnull Technology est impliquée dans le soutien de « centaines de milliers de sites web » dédiés à des arnaques en ligne, connues sous le nom de pig butchering. Le terme pig butchering fait référence à une escroquerie où les victimes sont manipulées sur une longue période pour investir de l’argent dans de fausses opportunités, avant que les escrocs ne disparaissent avec les fonds. Cette technique est particulièrement insidieuse car elle exploite la confiance des victimes sur une longue durée. ...