Archives par mot-clé : Cyberattaque

Cyberattaques et IA fantômes : comment encadrer et gérer les risques qui menacent l’entreprise

Publié le par

L’intelligence artificielle générative est un moteur d’accélération des risques pour les entreprises. La révolution de l’IA peut alors tourner au cauchemar. Mais il n’y a pas de fatalité, pour peu que les dirigeants suivent les règlements, les recommandations et les guides de bonnes pratiques.

Par Antoine Gravereaux, avocat associé*, FTPA Avocats

L’intelligence artificielle générative transforme en profondeur les paradigmes de la cybersécurité. En s’appuyant sur des modèles entraînés à partir de volumes de données considérables, cette technologie offre des applications variées dans la défense contre les menaces ou la gestion des attaques cyber. Mais l’IA générative permet également le développement d’usages malveillants, donnant ainsi naissance à une nouvelle vague de cybermenaces. Dans ce contexte, les entreprises doivent concilier innovation et sécurité, tout en respectant un cadre réglementaire européen en pleine évolution.

Cybermenaces externes et internes
Grâce à ses capacités d’automatisation de traitement de données à grande échelle et d’apprentissage autonome, l’IA générative permet aujourd’hui de concevoir des attaques plus efficaces, ciblées et difficile à détecter. Dans le premier rapport international sur la sécurité de l’intelligence artificielle, intitulé « International AI Safety Report » (1) et publié en janvier 2025, les experts soulignent que les menaces cybernétiques se renforcent du fait que l’IA à usage général est favorisée par une exécution rapide, simultanée et à grande échelle d’opérations, tout en abaissant les coûts et les obstacles techniques. Parmi les pratiques, le phishing (hameçonnage) ne cesse de gagner en crédibilité, l’IA permettant de générer de façon automatique tous types de contenus, tels que des deepfakes (hypertrucages) personnalisés.
Les virus polymorphes sont capables de muter leur signature pour échapper aux détections. Ils ont la capacité de modifier leur empreinte numérique pour (suite)

Cyberattaques et rançongiciels : branle-bas de combat dans le monde face à la cybercriminalité

Publié le par

Jamais le péril « cyber » n’a été aussi élevé dans le monde. Les tentions internationales (guerres militaires et guerres commerciales) accroissent le nombre de cyberattaques et de rançongiciels. Le blackout total numérique n’est pas exclu. L’Europe met en place un e-bouclier, mais le risque demeure

L’Agence européenne pour la cybersécurité (Enisa), qui a été créée il y a plus de 20 ans et dont le rôle a été renforcé par le Cybersecurity Act (1) en 2019, ne compte plus les milliards d’euros que coûtent à l’économie en Europe les cyberattaques et la cybercriminalité. De même, en France, l’Agence nationale de la sécurité des systèmes d’information (Anssi), dirigée par Vincent Strubel (photo), ne fait plus état – pas même dans son rapport du 11 mars (2) – des milliards de dommages financiers et des manques à gagner que provoquent cyberpirates, hackers, cyberescrocs et autres hacktivistes.

Sauve qui peut et branle-bas de combat
Le fléau est tel qu’il est devenu impossible de mesurer les pertes subies dans le monde. Potentiellement, personne n’est à l’abris : ni les Etats, ni les administrations publiques, ni les grandes entreprises, ni les PME-TPE, ni les artisans, et ni les particuliers. Face à la vulnérabilité numérique grandissante, l’UE avait adopté le 14 décembre 2022 pas moins de trois directives que la France (3) transpose actuellement dans sa législation nationale via le projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité ». Ce texte « Résilience & Cybersécurité » a été adopté le 12 mars dernier au Sénat (4) et est maintenant entre les mains de l’Assemblée nationale (5). Il y a urgent, le gouvernement ayant même engagé une « procédure accélérée ». Ces trois directives européennes sont :
La directive « Network and Information Security » (6), surnommée NIS2, vise à (suite)

MiCA : opportunités et défis pour les acteurs en quête d’optimisation fiscale et réglementaire

Publié le par

Un crypto-actif est « une représentation numérique d’une valeur ou d’un droit pouvant être transférée et stockée de manière électronique », comme sur une blockchain. Les « prestataires de services sur crypto-actifs » font face à de coûteuses obligations. Certains sont tentés par la délocalisation.

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

Entré en application le 30 décembre 2024, le règlement européen sur les marchés de crypto-actifs – surnommé « MiCA » (Markets in CryptoAssets) – a véritablement modifié le paysage réglementaire des crypto-actifs en Europe. Ce texte publié en mai 2023 au Journal Officiel de l’Union européenne (1) vise à harmoniser les pratiques dans les Etats membres pour réduire les disparités entre les Vingt-sept. Avant MiCA, les entreprises devaient naviguer dans des cadres nationaux très différents, ce qui augmentait la complexité.

La France : pionnière mais coûteuse
Avec MiCA, les « prestataires de services sur cryptoactifs » (PSCA ou en anglais CASP (2)) sont tenus d’obtenir un agrément auprès des autorités nationales compétentes, comme l’Autorité des marchés financiers (AMF) en France, ou l’ESMA (3) pour des services transfrontaliers (4). Cet agrément impose des normes élevées en matière de gouvernance et de qualification des dirigeants. Les entreprises doivent prouver leur solidité organisationnelle et leur capacité à protéger les investisseurs contre les abus de marché. En plus de l’agrément, MiCA introduit des obligations strictes de transparence et de gouvernance. Les PSCA doivent impérativement pouvoir garantir la sécurité des actifs confiés par leurs clients et disposer de garanties financières proportionnées à leurs activités. MiCA renforce également la lutte contre le blanchiment d’argent et le financement du terrorisme (5). Les PSCA doivent alors mettre en place des systèmes de contrôle interne robustes, capables de détecter et signaler les transactions suspectes.
La France a joué un rôle précurseur dans la régulation des crypto-actifs (6), bien avant l’entrée en vigueur de MiCA, à travers la loi Pacte de 2019. Ce texte a permis de mettre en place un cadre juridique pour les « prestataires de services sur actifs numériques » (PSAN). L’AMF et l’Autorité de contrôle prudentiel et de résolution (ACPR), deux régulateurs français, ont développé une expertise solide et proactive. Leur rigueur est perçue comme un gage de fiabilité par les investisseurs internationaux, renforçant la réputation de la France dans le secteur. En parallèle, la France propose des avantages fiscaux comme le crédit d’impôt recherche (CIR), qui permet de réduire les coûts liés à l’innovation. Des subventions spécifiques soutiennent également les start-up technologiques, contribuant à un écosystème favorable à l’innovation, y compris dans (suite)

Millions de données personnelles dérobées chez Free : comment les abonnés peuvent porter plainte

Publié le par

Depuis que Free s’est fait voler fin octobre les données personnelles de 19,2 millions de ses abonnés, dont 5,1 millions de coordonnées bancaires, la question juridique est de savoir comment les clients concernés par cette fuite massive peuvent porter plainte contre l’opérateur télécoms.

« Il est toujours possible d’engager une action de groupe à l’encontre de l’opérateur télécoms, via une association de consommateurs agréée. Mais il n’y a aucune certitude que Free soit condamné : se faire cambrioler ne signifie pas nécessairement qu’on a été négligent ! », a expliqué le 31 octobre à l’association 60 Millions de Consommateurs Jean-Jacques Latour (photo), directeur expertise cybersécurité pour Cybermalveillance.gouv.fr, qui assiste entre autres les victimes de hacking. Ce jour-là cet expert avait indiqué qu’un formulaire allait être mis en ligne sur ce site gouvernemental. « Le remplir permettra aux victimes d’avoir une preuve officielle à présenter à leur banque, si jamais elle rechigne à rembourser en cas d’opération non consentie », avait-il annoncé. La Commission nationale de l’informatique et des libertés (Cnil), qui a indiqué le 12 novembre que « le dossier est désormais en cours d’instruction » après « un contrôle chez l’opérateur » la semaine précédente (1), expliquait, elle aussi, – dans la version initiale d’une page web dédiée à la fuite de données chez Free et mise en ligne le 30 octobre – qu’un formulaire de plainte allait être accessible sur le site Cybermalveillance.gouv.fr.

A défaut de formulaire sur Cybermalveillance.gouv.fr, une class action ?
Cette « lettre plainte » devait permette aux clients victimes de la fuite massive de données personnelles, intervenue en octobre (2) chez l’opérateur télécoms fondé par Xavier Niel, de faire une déposition en ligne : « Si vous avez été avisés de la violation de vos données, à la suite de la cyberattaque visant l’opérateur de téléphonie Free, vous avez la possibilité de porter plainte via un formulaire en ligne sans vous déplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr », promettait le gendarme des données personnelles. Ce formulaire en ligne devait apparaître le 31 octobre… jour de la fête d’Halloween. Mais, sans explications, il n’en a rien été. Il n’y aura donc pas de formulaire. Se contentant de retirer la mention de ce formulaire en ligne de sa page web dédiée (3), la Cnil n’a donné aucune explication aux médias qui l’interrogeaient sur ce revirement. Contacté par la suite par Edition Multimédi@, Jean-Jacques Latour nous précise : « Le formulaire ne nous a pas été transmis par le ministère de l’Intérieur. Je n’ai pas à m’exprimer sur ses raisons et vous renvoie vers lui ». Mais la Place Beauvau (où se situe le ministère de l’Intérieur) n’a pas répondu à notre demande. Egalement contactée par nos soins, l’autorité administrative indépendante qu’est la Cnil ne nous a pas répondu non plus. (suite)

Droit de la consommation, propriété intellectuelle et droit pénal : les enjeux juridiques du métavers

Publié le par

Les défis juridiques posés par les métavers ne sont pas inédits. Mais la clé pour instaurer un climat de confiance dans le monde virtuel réside dans une adaptation proactive du cadre réglementaire actuel pour faciliter l’intégration harmonieuse et sécurisée du métavers dans notre société.

Par Arnaud Touati, avocat associé, et Dany Sawaya, juriste, Hashtag Avocats.

Le métavers est un environnement fictif en 3D, interactif et immersif, qui combine le monde réel avec des mondes virtuels. A l’intérieur, les individus peuvent incarner des avatars et interagir avec d’autres personnes ou avec des objets numériques. Imaginons un immense jeu vidéo multijoueur en ligne, regroupant divers univers de jeu où il est possible de naviguer librement. Une illustration saisissante de cette vision a été présentée dans le film « Ready Player One » de Steven Spielberg, sorti en 2018.

L’avatar, sujet de droit indépendant ?
Le métavers suit une trajectoire similaire aux enjeux soulevés par le Web, et plus récemment par la blockchain (chaîne de blocs, en français). Il est indéniable que, même dans un monde virtuel, la règle de droit continue à s’appliquer. Le métavers, tout comme la blockchain et Internet de manière générale, revêt une dimension intrinsèquement internationale. Le métavers est également un terrain de jeu fertile pour l’innovation et le développement. La France, consciente de cette opportunité, cherche à faire du métavers une priorité et envisage d’utiliser les Jeux Olympiques de 2024 à Paris (du 26 juillet au 11 août 2024) comme catalyseur pour rassembler les acteurs français des métavers. Toutefois, le développement du métavers soulève des questions juridiques complexes dans divers domaines tels que le droit de la consommation, la propriété intellectuelle, et le droit pénal. L’anticipation et l’encadrement juridique du métavers sont indispensables pour instaurer un climat de confiance et garantir une utilisation responsable et sécurisée de cette nouvelle frontière numérique. Défis et considérations juridiques du métavers en matière de consommation. Le métavers pose des défis inédits en matière de droit de la consommation. Par exemple, comment qualifier les contrats conclus entre avatars ? La capacité juridique de l’avatar repose-t-elle dans celle de l’utilisateur qui se trouve « derrière » ou l’avatar peut-il être reconnu comme un sujet de droit indépendant ? Dans ce monde virtuel, les règles de vente et de prestation de services ne sont pas encore clairement définies. Bien que le code de la consommation reconnaisse l’absence de présence physique simultanée des parties contractantes et l’utilisation de « techniques de communication à distance » pour qualifier un contrat à distance (1), la question se pose de savoir si cela est suffisant pour appréhender une transaction dans le métavers. On peut envisager que la capacité juridique de l’avatar repose dans celle de l’utilisateur qui le contrôle, faisant de l’avatar une extension légale de l’utilisateur, ou que l’avatar soit reconnu en tant que sujet de droit indépendant. La validité des contrats conclus entre avatars soulève également des interrogations quant à leur qualification juridique. Concernant la qualification du contrat comme « à distance », cela implique l’absence de présence physique simultanée des parties et « le recours exclusif à une ou plusieurs techniques de communication à distance jusqu’à la conclusion du contrat », cette qualification peut être appliquée dans le contexte du métavers. Ainsi, on peut envisager que les avatars qui recourent à un mode virtuel de communication au sein du métavers représentent une autre forme de « technique de communication à distance ». Quant à la qualification du contrat comme « hors établissement », qui repose sur l’exigence de « la présence physique simultanée des parties »soit au lieu de la conclusion soit au lieu de la sollicitation, elle n’est évidemment pas transposable dans le métavers.