L’autorité de régulation frappe fort en ce début d’année. Suite à une intrusion massive survenue en octobre 2024 dans les systèmes d’information du groupe Iliad, la Commission nationale de l’informatique et des libertés (CNIL) inflige une amende d’un montant total de 42 millions € aux opérateurs Free Mobile (27 millions € ) et Free (15 millions €).
Retour sur les faits. En octobre 2024, un attaquant s’infiltre dans le système d’information des deux sociétés compromettant les données personnelles de 24 millions de contrats d’abonnés. Les données exposées incluaient notamment des IBAN pour les clients disposant d’abonnements auprès des deux entités simultanément.

L’ampleur de l’incident suscite plus de 2 500 plaintes d’abonnés et déclenche un contrôle approfondi de la CNIL qui identifie plusieurs manquements graves au Règlement général sur la protection des données (RGPD), chaque société étant tenue responsable du traitement des données de ses propres clients.

Des failles de sécurité élémentaires

La formation restreinte de la CNIL, organe compétent pour prononcer les sanctions, constate aussi l’absence de mesures de sécurité fondamentales qui auraient pu compliquer l’attaque. Les enquêteurs relèvent notamment que la procédure d’authentification pour accéder aux réseaux privés virtuels (VPN) des deux sociétés, utilisés pour le télétravail des employés, présentait des faiblesses importantes en termes de robustesse.

Par ailleurs, les dispositifs de détection des comportements anormaux sur les systèmes d’information se sont révélés inefficaces. La CNIL a jugé que ces mesures n’étaient pas adaptées au volume et à la sensibilité des données traitées par les deux opérateurs.

La commission reconnait cependant qu’ils ont renforcé leur niveau de sécurité en cours de procédure et leur impose d’achever la mise en œuvre de ces nouvelles mesures sous trois mois.

Une communication insuffisante auprès des victimes

Le régulateur pointe également du doigt les lacunes dans la communication auprès des clients. Si Free et Free Mobile ont déployé un dispositif d’information à deux niveaux (courriel initial puis numéro vert et service dédié), le courriel envoyé aux abonnés ne contenait pas toutes les informations obligatoires prévues par l’article 34 du RGPD.

Selon la CNIL, ces omissions empêchaient les victimes de comprendre directement les conséquences de la violation et les mesures de protection qu’elles pouvaient adopter pour limiter les risques.

Free Mobile épinglée pour conservation excessive de données

Un troisième manquement est retenu spécifiquement contre Free Mobile concernant la durée de conservation des données. Au moment du contrôle, l’opérateur n’avait pas mis en place de procédures permettant de trier et supprimer les données des anciens abonnés une fois leur conservation devenue inutile.

La CNIL a établi que Free Mobile conservait des millions de données d’abonnés sans justification pendant des durées excessives, en violation de l’article 5 du RGPD. L’opérateur a depuis initié un tri pour ne conserver que les données nécessaires au respect des obligations comptables pendant dix ans, et a supprimé une partie des données conservées de manière excessive. La société dispose de six mois pour finaliser cette opération de purge.

Image : © Cnil 

The post RGPD : la Cnil inflige une amende de 42 millions € à Free et Free Mobile appeared first on Silicon.fr.

Annoncée juste avant les fêtes de Noël, l’acquisition d’Armis, spécialiste de la sécurité cyber-physique d’origine israélienne fondée en 2015, pour 7,75 milliards $ en cash, marque la plus importante transaction de ServiceNow à ce jour.

L’opération, qui doit être boucler au second semestre, vise à tripler l’empreinte cybersécurité de ServiceNow,  qui a dépassé 1 milliard $ de ventes au troisième trimestre 2025, en étendant sa nouvelle plateforme unifiée de  » Cyber Exposure Management » à des secteurs critiques comme la fabrication, la santé et les infrastructures.

Complémentarité des technologies

Fondée sur une approche « agentless », Armis s’est imposée comme un acteur clé de la découverte en temps réel des actifs et de la gestion de l’exposition cyber. Sa plateforme couvre l’ensemble des environnements IT, OT, IoT et les dispositifs médicaux connectés, offrant une visibilité continue sur la surface d’attaque cyber-physique.

La visibilité temps réel d’Armis sur les actifs non gérés (OT, IoT, cloud) viendra enrichir la CMDB de ServiceNow, avec des données contextualisées sur les vulnérabilités et les comportements anormaux. Ces données alimenteront ensuite les workflows ServiceNow pour automatiser la priorisation des risques, la gestion des incidents et la remédiation, en tenant compte de la criticité métier.

Par exemple, cela pourrait réduire le temps moyen de résolution des incidents OT dans l’industrie, renforcer la protection en temps réel des dispositifs médicaux ou anticiper les menaces sur des actifs sensibles.

« Nous construisons la plateforme de sécurité de demain pour l’ère de l’IA », résume Amit Zavery, COO de ServiceNow.

En combinant workflows IT, automatisation et visibilité cyber-physique, l’éditeur se positionne face à des acteurs spécialisés comme Palo Alto Networks ou CrowdStrike, avec une approche plus transverse et orientée métier.

Armis et ServiceNow étaient déjà partenaires, ce qui devrait faciliter une intégration plus rapide.

The post Pourquoi ServiceNow rachète Armis pour 7,75 milliards $ appeared first on Silicon.fr.

Aussi longtemps qu’ils peuvent se déplacer latéralement dans votre environnement, les attaquants ne seront pas gênés par votre PAM. Quant aux cases de « conformité » cochées dans votre IGA, elles n’ont pas de poids si les décisions d’accès sont basées sur des informations obsolètes.

Ces éléments font partie du pitch de SGNL, qui vante, par leur intermédiaire, l’aspect « temps réel » de sa solution de gestion des accès.

Le positionnement cette entreprise américaine a séduit CrowdStrike, parti pour s’en emparer pour une somme qui dépasserait les 700 M$. Il entend combiner la technologie à sa plate-forme Falcon, qui verra ainsi ses capacités d’autorisation contextuelle étendues au-delà d’Active Directory.

Avec Seraphic Security, CrowdStrike met un pied dans les navigateurs

CrowdStrike vient d’annoncer un autre projet d’acquisition, estimé à environ 420 M$. La cible, basée en Israël, s’appelle Seraphic Security. Elle commercialise une technologie de protection des navigateurs – et des apps Electron – basée sur un agent qui vient se placer au-dessus du moteur JavaScript.

Ces derniers temps, Seraphic Security a insisté sur la protection qu’il dit apporter contre les menaces liées à l’usage d’IA (fuites de données, injections de prompts, violations de conformité…). Il joue plus globalement l’alternative à de nombreuses solutions : VDI, VPN, SWG (passerelles web sécurisées), RBI (isolation de navigateur à distance), etc. Tout en se positionnant comme un complément aux EDR, en apportant de la visibilité sur l’activité dans les navigateurs.

Seraphic Security s’est déjà intégré à quelques EDR, dont ceux de Microsoft … et de CrowdStrike. Les jonctions avec la plate-forme Falcon touchent aussi, entre autres, à la sandbox et au score d’évaluation zero trust.

2020-2025 : des acquisitions sous le signe du zero trust, puis de la sécurité du cloud

En 2025, CrowdStrike avait officialisé deux acquisitions.

L’une, estimée à 290 M$, a porté sur Onum, un spécialiste de la télémétrie. Son architecture in-memory sans état doit permettre de fiabiliser l’ingestion de données dans Falcon et permettre d’amorcer leur analyse en amont, au niveau des pipelines.

L’autre opération, estimée à 260 M$, a visé Pangea. Elle est censée étendre les capacités EDR de CrowdStrike à l’IA, sur l’ensemble de son cycle de vie.

Deux acquisitions avaient également été annoncées en 2024. Elles ont témoigné d’une volonté de renforcement sur la sécurité du cloud. D’un côté, Flow Security (200 M$ ; gestion de la posture de sécurité des données). De l’autre, Adaptive Shield (300 M$ ; gestion de la posture de sécurité du SaaS).

L’acquisition de Bionic, effectuée en 2023 pour un montant estimé à 350 M$, reflétait cette même volonté. Avec elle, CrowdStrike a élargi ses capacités AppSec et ouvert la voie à une composante CIEM, en apportant une visibilité sur l’exécution des applications sur les infras cloud.

En 2022, la gestion de la surface d’attaque externe fut étendue avec Reposify. En 2021, on avait parlé sécurité des données avec SecureCircle. CrowdStrike en avait présenté l’acquisition comme un levier d’extension de son approche zero trust. Il avait adopté un discours semblable en 2020 à l’heure de mettre la main sur Preempt Security (gestion des accès ; 96 M$). Entre-temps, il s’était offert Humio (400 M$) et sa technologie d’ingestion/analyse de logs.

Illustration principale © Adrian Gros – Shutterstock

The post Double acquisition pour CrowdStrike : le zero trust en filigrane appeared first on Silicon.fr.