Avec les milliards de données de leurs abonnés, les opérateurs télécoms sont des cybercibles de choix

L’été 2025 n’aura pas été de tout repos pour les « telcos ». En France, Bouygues Telecom a été victime début août d’une cyberattaque. Peu avant, fin juillet, Orange a aussi été la cible d’une cyberattaque. L’an dernier, SFR puis Free avaient eux aussi fait l’objet d’une fuite massive de données.

Les quatre opérateurs télécoms français, que sont Orange, Bouygues Telecom, SFR et Free, sont plus que jamais exposés à des cyberattaques de leurs systèmes d’information, où sont gérées et stockées des milliards de données personnelles de leurs plusieurs dizaines de millions d’abonnés mobiles et fixes. Devenus encore plus redoutables et imprévisibles avec l’intelligence artificielle, ces cyberpiratages massifs inquiètent de plus en plus leurs clients.

Données personnelles : open bar ?
Orange compte en France près de 22,1 millions d’abonnés mobiles et plus de 14 millions d’abonnés fixes, et totalise presque 300 millions de clients dans le monde. Bouygues Telecom a, lui, plus de 18 millions d’abonnés mobiles et 5,3 millions d’abonnés fixes, toujours sur l’Hexagone. SFR, c’est 19,3 millions d’abonnés mobiles et 6,1 millions d’abonnés fixes. Quant à Free, il compte en France 15,5 millions d’abonnés mobiles et 7,6 millions d’abonnés fixes, avec un total d’environ 51 millions avec les quelques autres pays où le groupe est présent. Autant dire que les quatre « telcos » français regorgent de données personnelles qui suscitent les convoitises de hackers et cybercriminels désireux de s’en emparer pour demander une rançon et/ou les vendre sur le dark web. Coup sur coup, cet été, Orange puis Bouygues Telecom ont subi une violation de leur système d’information respectif. Or, ce n’est pas la première fois que (suite)

16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite)

Cyberattaques et IA fantômes : comment encadrer et gérer les risques qui menacent l’entreprise

L’intelligence artificielle générative est un moteur d’accélération des risques pour les entreprises. La révolution de l’IA peut alors tourner au cauchemar. Mais il n’y a pas de fatalité, pour peu que les dirigeants suivent les règlements, les recommandations et les guides de bonnes pratiques.

Par Antoine Gravereaux, avocat associé*, FTPA Avocats

L’intelligence artificielle générative transforme en profondeur les paradigmes de la cybersécurité. En s’appuyant sur des modèles entraînés à partir de volumes de données considérables, cette technologie offre des applications variées dans la défense contre les menaces ou la gestion des attaques cyber. Mais l’IA générative permet également le développement d’usages malveillants, donnant ainsi naissance à une nouvelle vague de cybermenaces. Dans ce contexte, les entreprises doivent concilier innovation et sécurité, tout en respectant un cadre réglementaire européen en pleine évolution.

Cybermenaces externes et internes
Grâce à ses capacités d’automatisation de traitement de données à grande échelle et d’apprentissage autonome, l’IA générative permet aujourd’hui de concevoir des attaques plus efficaces, ciblées et difficile à détecter. Dans le premier rapport international sur la sécurité de l’intelligence artificielle, intitulé « International AI Safety Report » (1) et publié en janvier 2025, les experts soulignent que les menaces cybernétiques se renforcent du fait que l’IA à usage général est favorisée par une exécution rapide, simultanée et à grande échelle d’opérations, tout en abaissant les coûts et les obstacles techniques. Parmi les pratiques, le phishing (hameçonnage) ne cesse de gagner en crédibilité, l’IA permettant de générer de façon automatique tous types de contenus, tels que des deepfakes (hypertrucages) personnalisés.
Les virus polymorphes sont capables de muter leur signature pour échapper aux détections. Ils ont la capacité de modifier leur empreinte numérique pour (suite)

Cyberattaques et rançongiciels : branle-bas de combat dans le monde face à la cybercriminalité

Jamais le péril « cyber » n’a été aussi élevé dans le monde. Les tentions internationales (guerres militaires et guerres commerciales) accroissent le nombre de cyberattaques et de rançongiciels. Le blackout total numérique n’est pas exclu. L’Europe met en place un e-bouclier, mais le risque demeure

L’Agence européenne pour la cybersécurité (Enisa), qui a été créée il y a plus de 20 ans et dont le rôle a été renforcé par le Cybersecurity Act (1) en 2019, ne compte plus les milliards d’euros que coûtent à l’économie en Europe les cyberattaques et la cybercriminalité. De même, en France, l’Agence nationale de la sécurité des systèmes d’information (Anssi), dirigée par Vincent Strubel (photo), ne fait plus état – pas même dans son rapport du 11 mars (2) – des milliards de dommages financiers et des manques à gagner que provoquent cyberpirates, hackers, cyberescrocs et autres hacktivistes.

Sauve qui peut et branle-bas de combat
Le fléau est tel qu’il est devenu impossible de mesurer les pertes subies dans le monde. Potentiellement, personne n’est à l’abris : ni les Etats, ni les administrations publiques, ni les grandes entreprises, ni les PME-TPE, ni les artisans, et ni les particuliers. Face à la vulnérabilité numérique grandissante, l’UE avait adopté le 14 décembre 2022 pas moins de trois directives que la France (3) transpose actuellement dans sa législation nationale via le projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité ». Ce texte « Résilience & Cybersécurité » a été adopté le 12 mars dernier au Sénat (4) et est maintenant entre les mains de l’Assemblée nationale (5). Il y a urgent, le gouvernement ayant même engagé une « procédure accélérée ». Ces trois directives européennes sont :
La directive « Network and Information Security » (6), surnommée NIS2, vise à (suite)

MiCA : opportunités et défis pour les acteurs en quête d’optimisation fiscale et réglementaire

Un crypto-actif est « une représentation numérique d’une valeur ou d’un droit pouvant être transférée et stockée de manière électronique », comme sur une blockchain. Les « prestataires de services sur crypto-actifs » font face à de coûteuses obligations. Certains sont tentés par la délocalisation.

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

Entré en application le 30 décembre 2024, le règlement européen sur les marchés de crypto-actifs – surnommé « MiCA » (Markets in CryptoAssets) – a véritablement modifié le paysage réglementaire des crypto-actifs en Europe. Ce texte publié en mai 2023 au Journal Officiel de l’Union européenne (1) vise à harmoniser les pratiques dans les Etats membres pour réduire les disparités entre les Vingt-sept. Avant MiCA, les entreprises devaient naviguer dans des cadres nationaux très différents, ce qui augmentait la complexité.

La France : pionnière mais coûteuse
Avec MiCA, les « prestataires de services sur cryptoactifs » (PSCA ou en anglais CASP (2)) sont tenus d’obtenir un agrément auprès des autorités nationales compétentes, comme l’Autorité des marchés financiers (AMF) en France, ou l’ESMA (3) pour des services transfrontaliers (4). Cet agrément impose des normes élevées en matière de gouvernance et de qualification des dirigeants. Les entreprises doivent prouver leur solidité organisationnelle et leur capacité à protéger les investisseurs contre les abus de marché. En plus de l’agrément, MiCA introduit des obligations strictes de transparence et de gouvernance. Les PSCA doivent impérativement pouvoir garantir la sécurité des actifs confiés par leurs clients et disposer de garanties financières proportionnées à leurs activités. MiCA renforce également la lutte contre le blanchiment d’argent et le financement du terrorisme (5). Les PSCA doivent alors mettre en place des systèmes de contrôle interne robustes, capables de détecter et signaler les transactions suspectes.
La France a joué un rôle précurseur dans la régulation des crypto-actifs (6), bien avant l’entrée en vigueur de MiCA, à travers la loi Pacte de 2019. Ce texte a permis de mettre en place un cadre juridique pour les « prestataires de services sur actifs numériques » (PSAN). L’AMF et l’Autorité de contrôle prudentiel et de résolution (ACPR), deux régulateurs français, ont développé une expertise solide et proactive. Leur rigueur est perçue comme un gage de fiabilité par les investisseurs internationaux, renforçant la réputation de la France dans le secteur. En parallèle, la France propose des avantages fiscaux comme le crédit d’impôt recherche (CIR), qui permet de réduire les coûts liés à l’innovation. Des subventions spécifiques soutiennent également les start-up technologiques, contribuant à un écosystème favorable à l’innovation, y compris dans (suite)