Menu
× Accueil Supprimer un compte Blog En savoir plus
← Blog Nouveaux enjeux Intermédiaire 18 min

Cybersécurité en 2025 : ransomwares, phishing et comment vous protéger

Cybersécurité en 2025 : ransomwares, phishing et comment vous protéger

En janvier 2024, les données de 33 millions de Français se retrouvent dans la nature. Numéros de sécurité sociale, noms, dates de naissance, mutuelles. Pas une fuite de Facebook ou de Google. Une attaque contre Viamedis et Almerys — deux opérateurs de tiers payant dont vous n'aviez probablement jamais entendu le nom. Deux mois plus tard, France Travail annonce que 43 millions de personnes sont potentiellement concernées par un vol de données. En quelques semaines, la quasi-totalité de la population française adulte a vu ses informations personnelles compromises.

Ces incidents ne sont pas des anomalies. Ce sont les symptômes d'une réalité que les spécialistes connaissent depuis des années : le niveau de menace cyber n'a jamais été aussi élevé, et la France est une cible privilégiée. En 2024, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) a traité 1 112 incidents de sécurité — soit environ trois par jour.

Vous n'avez pas besoin d'être expert en informatique pour vous protéger. Mais vous devez comprendre les menaces pour adopter les bons réflexes. C'est l'objet de cet article.

L'état des lieux : un monde sous attaque permanente

Les chiffres qui donnent le vertige

Le coût mondial de la cybercriminalité dépasse les estimations les plus pessimistes. Cybersecurity Ventures l'évalue à 10 500 milliards de dollars en 2025 — davantage que le PIB du Japon et de l'Allemagne réunis. Les seuls ransomwares (rançongiciels) représentent un coût estimé à 20 milliards de dollars par an, entre rançons payées, interruptions d'activité et coûts de reconstruction des systèmes.

En France, le panorama est tout aussi préoccupant :

  • 1 entreprise sur 2 déclare avoir subi au moins une cyberattaque réussie en 2023 (baromètre CESIN)
  • 69 % des cyberattaques ciblent des entreprises, 20 % des collectivités territoriales, 11 % des établissements de santé (ANSSI, 2024)
  • Le coût moyen d'une violation de données en France atteint 3,9 millions d'euros (IBM Cost of a Data Breach, 2024)

Les menaces principales

Ransomwares : logiciels qui chiffrent vos données et exigent une rançon pour les déverrouiller. On y revient en détail plus bas.

Phishing : emails, SMS ou appels frauduleux qui imitent des organismes de confiance pour voler vos identifiants. 90 % des cyberattaques commencent par un email de phishing (Verizon DBIR 2024). C'est le vecteur d'attaque numéro un, et de très loin.

Attaques par la chaîne d'approvisionnement (supply chain attacks) : au lieu d'attaquer la cible directement, les attaquants compromettent un fournisseur de logiciel ou de service. L'affaire SolarWinds (2020) a touché 18 000 organisations — dont le département du Trésor américain — via une mise à jour logicielle piégée. En 2023, l'exploitation d'une faille dans MOVEit Transfer (un logiciel de transfert de fichiers) a exposé les données de plus de 60 millions de personnes à travers le monde. Vous pouvez avoir la meilleure sécurité du monde : si votre prestataire est compromis, vos données le sont aussi.

Attaques DDoS (déni de service distribué) : des milliers de machines submergent un serveur de requêtes pour le rendre inaccessible. Pas de vol de données, mais des interruptions de service qui paralysent des entreprises entières. En 2024, plusieurs sites institutionnels français ont été visés par des attaques DDoS revendiquées par des groupes hacktivistes.

Malwares : terme générique pour tout logiciel malveillant — virus, chevaux de Troie, keyloggers (enregistreurs de frappe), spywares. Les smartphones sont désormais aussi exposés que les ordinateurs.

Le saviez-vous ? L'écrasante majorité des cyberattaques n'exploitent pas de faille technique sophistiquée. Elles exploitent l'erreur humaine : un clic sur un lien piégé, un mot de passe réutilisé, une pièce jointe ouverte sans réfléchir. Le maillon faible, presque toujours, c'est nous.

La France sous le feu : les cas concrets

Hôpitaux : la cible la plus cynique

Les établissements de santé sont devenus des cibles privilégiées des cybercriminels. La raison est froide : un hôpital ne peut pas se permettre d'arrêter de fonctionner. La pression pour payer est maximale.

CHU de Corbeil-Essonnes, août 2022. Un groupe de ransomware (LockBit 3.0) paralyse les systèmes informatiques de l'hôpital. Les services reviennent au papier et au fax. Le groupe réclame 10 millions de dollars. L'hôpital refuse de payer. En représailles, les attaquants publient 11 Go de données patients sur le dark web : comptes-rendus médicaux, bilans biologiques, données d'identité. Des mois de perturbation. Coût total estimé à plusieurs millions d'euros.

CHU de Rennes, juin 2023. Même scénario. Les systèmes sont compromis, les données exfiltrées, l'hôpital fonctionne en mode dégradé pendant des semaines.

CHU de Cannes, avril 2024. Attaque revendiquée par le groupe Lockbit, publication de 61 Go de données. Le schéma se répète, institution après institution, sans que les moyens de protection évoluent à la même vitesse que les menaces.

Les méga-fuites de 2024

Viamedis / Almerys (janvier 2024). Ces deux opérateurs gèrent le tiers payant pour des centaines de mutuelles. Un accès compromis à leur portail professionnel a permis l'exfiltration des données de 33 millions de Français : état civil, date de naissance, numéro de sécurité sociale, nom de l'assureur et garanties du contrat. Le plus gros vol de données de santé jamais survenu en France.

France Travail (mars 2024). L'ex-Pôle Emploi annonce qu'une intrusion a potentiellement exposé les données de 43 millions de personnes — tous les inscrits actuels et passés sur une période de vingt ans. Noms, prénoms, dates de naissance, numéros de sécurité sociale, identifiants France Travail, adresses mail et postales, numéros de téléphone.

L'addition de ces deux fuites signifie une chose simple : si vous êtes un adulte résidant en France, vos données personnelles circulent très probablement quelque part où elles ne devraient pas être.

PME, mairies, collectivités : personne n'est épargné

On aurait tort de croire que seuls les gros poissons sont visés. Les données personnelles des Français transitent par des milliers de structures : mairies, communautés de communes, PME, cabinets médicaux, associations. Ces structures ont rarement les moyens d'une cybersécurité robuste. Elles représentent 20 % des incidents traités par l'ANSSI.

En 2022, la ville de Caen, le département de Seine-Maritime et le conseil départemental de Seine-et-Marne ont tous subi des attaques par ransomware. En 2023, plusieurs mairies d'Île-de-France ont vu leurs systèmes compromis. À chaque fois : des semaines de perturbation, des coûts de reconstruction, et des données citoyennes exposées.

À retenir :

  • Les hôpitaux français sont attaqués de façon répétée, avec publication de données patients
  • En 2024, deux fuites massives ont compromis les données de la quasi-totalité de la population adulte
  • Les petites structures (PME, mairies) sont proportionnellement les plus vulnérables

Le phishing : l'arme la plus efficace des cybercriminels

Anatomie d'un email de phishing

Le phishing (hameçonnage) reste, année après année, la porte d'entrée numéro un des cyberattaques. Le principe est d'une simplicité redoutable : vous recevez un message qui imite un organisme de confiance — votre banque, les impôts, La Poste, Netflix, Ameli — et vous incite à cliquer sur un lien ou à fournir des informations.

Les signaux classiques pour repérer un phishing :

  • L'URL ne correspond pas. Vous survolez le lien et voyez ameli-connect-fr.com au lieu de ameli.fr. Vérifiez toujours l'adresse réelle avant de cliquer.
  • L'urgence artificielle. "Votre compte sera suspendu dans 24h", "Régularisez immédiatement", "Dernière relance avant poursuites". La pression temporelle vise à court-circuiter votre réflexion.
  • L'expéditeur est suspect. Une adresse service-client@secure-banque-info.net n'est pas votre banque.
  • Les fautes d'orthographe et de mise en forme. Un email officiel ne contient pas de fautes grossières ni de mise en page bancale.

Le problème : l'IA rend le phishing presque indétectable

Ce dernier point — les fautes d'orthographe — est en train de devenir obsolète comme critère de détection. Les algorithmes de génération de texte permettent désormais aux attaquants de produire des emails parfaitement rédigés, en français impeccable, avec un ton adapté au contexte. Le phishing artisanal et approximatif cède la place à un phishing industriel et soigné.

Les outils d'IA générative permettent aussi de personnaliser les messages à grande échelle : en croisant des données issues de fuites (comme celles de Viamedis ou France Travail), un attaquant peut vous envoyer un email mentionnant votre vrai nom, votre mutuelle, votre numéro de sécurité sociale. La frontière entre email légitime et email frauduleux devient de plus en plus floue.

Au-delà de l'email : smishing, vishing et spear phishing

Le smishing (SMS + phishing) explose depuis 2022. "Votre colis est en attente de livraison, cliquez ici", "Infraction routière : réglez votre amende", "CPF : vous avez un solde de 5 000 euros à utiliser avant le 31/12". Le format SMS inspire davantage confiance que l'email — à tort.

Le vishing (voice + phishing) est encore plus insidieux. Un faux conseiller bancaire vous appelle, connaît votre nom, votre banque, parfois votre dernier achat. Il vous demande de "confirmer" une opération suspecte en fournissant un code reçu par SMS. Vous croyez sécuriser votre compte, vous validez un virement frauduleux.

Le spear phishing (hameçonnage ciblé) vise une personne précise — un dirigeant d'entreprise, un comptable, un administrateur système. Le message est taillé sur mesure à partir d'informations collectées sur LinkedIn, le site de l'entreprise, les réseaux sociaux. C'est par ce biais que la plupart des grandes attaques commencent.

Le saviez-vous ? La "fraude au président" est une variante française du spear phishing. Un escroc se fait passer pour le PDG ou le directeur financier et ordonne un virement urgent à un comptable. En 2021, le groupe Pathé avait perdu 19 millions d'euros via ce procédé. Le cabinet d'audit KPMG estime que les pertes liées à cette fraude dépassent 5 milliards d'euros dans le monde.

À retenir :

  • 90 % des cyberattaques commencent par un phishing
  • L'IA rend les emails de phishing de plus en plus convaincants — les fautes ne sont plus un critère fiable
  • Le phishing ne se limite plus à l'email : SMS, appels vocaux et messages ciblés complètent l'arsenal

Ransomwares : le chantage numérique à grande échelle

Comment fonctionne un ransomware

Un ransomware est un logiciel malveillant qui chiffre les fichiers de votre ordinateur (ou de tout un réseau) et affiche un message de rançon. Pour récupérer vos données, vous devez payer — généralement en cryptomonnaie (Bitcoin, Monero), ce qui rend la transaction difficile à tracer.

Le processus type :

  1. L'intrusion. Via un email de phishing (le plus souvent), une faille logicielle non corrigée, ou un accès distant mal sécurisé (RDP).
  2. La reconnaissance. L'attaquant explore le réseau pendant des jours, voire des semaines. Il repère les données critiques, les sauvegardes, les comptes administrateurs.
  3. L'exfiltration. Avant de chiffrer, l'attaquant copie les données sensibles. C'est le levier de la "double extorsion" : si vous ne payez pas la rançon, vos données sont publiées.
  4. Le chiffrement. Tous les fichiers accessibles sont chiffrés d'un coup. L'activité s'arrête.
  5. La demande de rançon. Un message apparaît avec un montant, un portefeuille crypto, et un compte à rebours.

Pourquoi il ne faut jamais payer

La position officielle de l'ANSSI et de toutes les agences de cybersécurité est claire : ne payez pas.

  • Aucune garantie de récupération. Environ 40 % des entreprises qui paient ne récupèrent pas l'intégralité de leurs données (Sophos, State of Ransomware 2024). Certaines ne récupèrent rien du tout.
  • Vous financez le crime organisé. Les groupes de ransomware (LockBit, ALPHV/BlackCat, Cl0p, Akira) fonctionnent comme des entreprises : affiliés, service client, infrastructure technique. Chaque rançon payée finance le développement de nouvelles attaques.
  • Vous devenez une cible récurrente. Une victime qui a payé une fois est identifiée comme solvable. Elle est souvent réattaquée.

En France, depuis la loi LOPMI de janvier 2023, le paiement de rançon est conditionné au dépôt d'une plainte dans les 72 heures suivant la connaissance de l'attaque. L'objectif : permettre aux forces de l'ordre de tracer les flux financiers.

Que faire si vous êtes touché

Si c'est votre ordinateur personnel :

  1. Déconnectez immédiatement la machine d'internet et du réseau local
  2. Ne payez pas
  3. Consultez le site NoMoreRansom.org — un projet Europol qui fournit des outils de déchiffrement gratuits pour certains ransomwares connus
  4. Déposez plainte (commissariat ou gendarmerie) et signalez l'incident sur cybermalveillance.gouv.fr
  5. Restaurez vos données depuis une sauvegarde (si vous en avez une — on y revient)

Si c'est votre entreprise : contactez l'ANSSI ou un prestataire spécialisé immédiatement. Chaque minute compte pour limiter la propagation.

À retenir :

  • Un ransomware chiffre vos données et exige un paiement en cryptomonnaie
  • Ne payez jamais : pas de garantie, et vous financez les attaquants
  • NoMoreRansom.org propose des outils de déchiffrement gratuits pour certains ransomwares

Mots de passe et authentification : le maillon le plus faible

Le problème des mots de passe

Chaque année, NordPass publie la liste des mots de passe les plus utilisés dans le monde. En France, le top 5 en 2024 : 123456, 123456789, azerty, qwerty, 1234567. Le mot de passe azerty123 apparaît systématiquement dans le top 20. Temps de craquage estimé pour ces mots de passe : moins d'une seconde.

Le problème ne s'arrête pas aux mots de passe faibles. La réutilisation est tout aussi dangereuse. Si vous utilisez le même mot de passe pour votre messagerie, votre banque en ligne et un forum de cuisine, une seule fuite (comme celles de 2024) suffit pour compromettre tous vos comptes. C'est ce qu'on appelle le credential stuffing : les attaquants testent automatiquement des combinaisons email/mot de passe issues de fuites sur des centaines de services.

Les gestionnaires de mots de passe : la solution la plus efficace

Un gestionnaire de mots de passe est un coffre-fort numérique qui stocke tous vos identifiants derrière un seul mot de passe maître. Il génère des mots de passe longs, aléatoires et uniques pour chaque site. Vous n'avez plus besoin de les retenir.

Deux options fiables :

  • Bitwarden — open source, gratuit pour un usage personnel, audité régulièrement
  • 1Password — payant (~3 $/mois), interface soignée, fonctions de partage familial

Les gestionnaires intégrés aux navigateurs (Chrome, Safari, Firefox) sont une alternative correcte mais moins complète. L'essentiel est d'en utiliser un, quel qu'il soit. La pire solution est de ne pas en avoir.

L'authentification à deux facteurs (2FA/MFA)

L'authentification à deux facteurs ajoute une vérification supplémentaire au-delà du mot de passe. Même si votre mot de passe est compromis, l'attaquant ne peut pas se connecter sans le second facteur.

Les options, par ordre de sécurité croissante :

  1. Code SMS — mieux que rien, mais vulnérable au SIM swapping (l'attaquant transfère votre numéro sur sa SIM)
  2. Application d'authentification (Google Authenticator, Authy, Microsoft Authenticator) — génère un code temporaire toutes les 30 secondes, non interceptable à distance
  3. Clé physique (YubiKey, Google Titan) — une clé USB que vous branchez pour vous authentifier. Quasi inviolable.

Activez le 2FA partout où c'est possible. En priorité absolue : votre messagerie email (c'est la clé qui ouvre toutes les autres portes, via les liens de réinitialisation), votre banque, et vos réseaux sociaux.

Passkeys : la fin des mots de passe ?

Les passkeys (clés d'accès), basées sur le standard FIDO2, sont le futur de l'authentification. Le principe : au lieu d'un mot de passe, votre appareil (smartphone, ordinateur) stocke une clé cryptographique privée. Pour vous connecter, vous vous authentifiez localement (empreinte digitale, reconnaissance faciale, code PIN), et la clé prouve votre identité au service sans jamais transiter par le réseau.

Pas de mot de passe à retenir, pas de mot de passe à voler, pas de phishing possible (la clé est liée au domaine exact du site). Apple, Google et Microsoft supportent les passkeys depuis 2023-2024. Des services comme PayPal, eBay, GitHub, Adobe les proposent déjà.

L'adoption reste progressive. Tous les sites ne les supportent pas encore. Mais la direction est claire : le mot de passe traditionnel vit ses dernières années.

Le saviez-vous ? Une étude Google de 2023 montre que les passkeys sont 40 % plus rapides que les mots de passe traditionnels et réduisent de 99 % les attaques par phishing. La FIDO Alliance estime que 12 milliards de comptes en ligne supporteront les passkeys d'ici fin 2025.

À retenir :

  • Utilisez un gestionnaire de mots de passe — c'est le geste le plus impactant
  • Activez le 2FA partout, en priorité sur votre email
  • Les passkeys remplaceront progressivement les mots de passe, surveillez leur déploiement

Votre plan de protection : 10 gestes concrets

Pas de panique, pas de paranoïa. Dix habitudes, applicables aujourd'hui, qui éliminent la grande majorité des risques.

1. Mettez tout à jour, toujours

Système d'exploitation, navigateur, applications, firmware de votre box internet. Les mises à jour corrigent des failles de sécurité connues. Retarder une mise à jour, c'est laisser une porte ouverte que les attaquants connaissent. Activez les mises à jour automatiques partout où c'est possible.

2. Utilisez un gestionnaire de mots de passe

On l'a dit, on le redit. Un mot de passe unique et complexe par service. Bitwarden est gratuit. Il n'y a aucune excuse.

3. Activez la double authentification (2FA)

Sur votre email en priorité, puis sur tous les services qui le proposent. Préférez une application d'authentification au SMS.

4. Sauvegardez vos données régulièrement

La règle 3-2-1 : trois copies de vos données, sur deux supports différents, dont un hors site (cloud ou disque dur externe stocké ailleurs). Si un ransomware chiffre votre ordinateur et que votre seule sauvegarde est sur un disque branché en permanence, elle sera chiffrée aussi.

5. Méfiez-vous des emails, SMS et appels inattendus

Un lien dans un SMS de La Poste ? N'y touchez pas. Un email de votre banque vous demandant de confirmer vos coordonnées ? Allez directement sur le site de votre banque en tapant l'adresse vous-même. Un appel d'un "conseiller" qui connaît votre nom ? Raccrochez et rappelez le numéro officiel.

6. Vérifiez si vos données ont fuité

Le site Have I Been Pwned vous indique si votre adresse email apparaît dans des fuites connues. Vérifiez régulièrement. Si une fuite est détectée : changez le mot de passe du service concerné immédiatement (et partout où vous l'auriez réutilisé).

7. Utilisez un VPN sur les réseaux wifi publics

Le wifi de l'hôtel, du café, de l'aéroport : autant de réseaux où vos communications peuvent être interceptées. Un VPN (réseau privé virtuel) chiffre votre trafic et empêche l'interception. Mullvad, ProtonVPN ou IVPN sont des options fiables. Les VPN gratuits financent souvent leur modèle en revendant vos données — ce qui anéantit l'intérêt du dispositif.

8. Limitez les permissions de vos applications

Votre application lampe torche a-t-elle besoin d'accéder à vos contacts et à votre localisation ? Non. Passez en revue les permissions de vos applications (Réglages > Confidentialité sur iOS, Paramètres > Applications sur Android) et révoquez tout ce qui n'est pas strictement nécessaire.

9. Utilisez la navigation privée pour les recherches sensibles

La navigation privée ne vous rend pas anonyme (votre fournisseur d'accès et les sites visités voient toujours votre activité), mais elle empêche le stockage local de votre historique, des cookies et des données de formulaire. Utilisez-la pour toute recherche que vous ne souhaitez pas voir alimenter votre profil publicitaire — les data-brokers exploitent chaque trace que vous laissez.

10. Exercez votre droit d'accès RGPD

Vous avez le droit de savoir quelles données les entreprises détiennent sur vous, et d'en demander la suppression. Après les fuites de 2024, c'est d'autant plus pertinent : demandez à Viamedis, Almerys ou France Travail quelles données vous concernant ont été compromises. Le RGPD vous donne ce pouvoir — Fairmi vous aide à l'exercer concrètement.

À retenir :

  • Ces 10 gestes ne demandent ni expertise technique ni budget
  • Les trois priorités absolues : gestionnaire de mots de passe, 2FA sur l'email, sauvegardes 3-2-1
  • La vérification sur Have I Been Pwned est gratuite et prend 10 secondes

NIS2 : la nouvelle donne réglementaire européenne

Ce que change la directive NIS2

Si le RGPD protège vos données personnelles, la directive NIS2 (Network and Information Security 2), adoptée par l'Union européenne en janvier 2023, s'attaque à la résilience des infrastructures. Elle remplace la directive NIS de 2016, jugée trop limitée.

NIS2 élargit considérablement le périmètre :

  • Secteurs couverts : énergie, transports, santé, eau, infrastructure numérique, administrations publiques, agroalimentaire, services postaux, gestion des déchets, fabrication de dispositifs médicaux, chimie, spatial. Au total, 18 secteurs.
  • Taille des entreprises concernées : toute entité de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans ces secteurs. Soit environ 160 000 entités en Europe, contre 15 000 sous NIS1.
  • Obligations : analyse de risque, gestion des incidents (notification sous 24h pour l'alerte préliminaire, 72h pour le rapport complet), sécurité de la chaîne d'approvisionnement, tests réguliers, formation du personnel dirigeant.
  • Sanctions : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles. La responsabilité personnelle des dirigeants peut être engagée.

Pourquoi NIS2 vous concerne en tant que citoyen

Vous n'êtes pas directement soumis à NIS2. Mais vous êtes le bénéficiaire final. Si votre hôpital, votre fournisseur d'énergie, votre opérateur télécom ou votre collectivité locale sont mieux protégés, ce sont vos données et vos services qui sont mieux protégés. Les attaques contre le CHU de Corbeil-Essonnes ou contre Viamedis auraient probablement eu des conséquences moindres si les obligations NIS2 avaient été en vigueur et respectées.

La transposition en droit français est en cours. L'ANSSI sera l'autorité de contrôle. Les premières obligations concrètes devraient s'appliquer à partir de fin 2025.

À retenir :

  • NIS2 impose des obligations de cybersécurité à 160 000 entités européennes dans 18 secteurs critiques
  • Les dirigeants peuvent être personnellement tenus responsables en cas de manquement
  • L'objectif : éviter que des incidents comme ceux des CHU et de Viamedis se reproduisent

FAQ — Questions fréquentes sur la cybersécurité

C'est quoi un ransomware exactement ?

Un ransomware (rançongiciel en français) est un logiciel malveillant qui chiffre les fichiers de votre ordinateur ou de votre réseau, les rendant inaccessibles. Les attaquants exigent ensuite le paiement d'une rançon, généralement en cryptomonnaie, en échange d'une clé de déchiffrement. Les groupes les plus actifs en 2024-2025 sont LockBit, Cl0p, ALPHV/BlackCat et Akira.

Comment reconnaître un email de phishing ?

Vérifiez l'adresse de l'expéditeur (pas le nom affiché, mais l'adresse réelle), survolez les liens sans cliquer pour voir l'URL de destination, méfiez-vous de toute urgence artificielle ("votre compte sera bloqué"), et ne fournissez jamais d'identifiants via un lien reçu par email. Attention : l'IA rend les emails frauduleux de plus en plus convaincants, les fautes d'orthographe ne sont plus un critère fiable.

C'est quoi une passkey ?

Une passkey (clé d'accès) est une méthode d'authentification sans mot de passe, basée sur le standard FIDO2. Votre appareil stocke une clé cryptographique privée. Pour vous connecter, vous vous authentifiez localement (empreinte digitale, reconnaissance faciale, code PIN). La clé n'est jamais transmise au site web, ce qui élimine le risque de phishing et de vol de mot de passe.

Mes données ont fuité, que dois-je faire ?

Vérifiez l'étendue de la fuite sur Have I Been Pwned. Changez immédiatement le mot de passe du service concerné et de tout service où vous auriez utilisé le même mot de passe. Activez le 2FA. Surveillez vos comptes bancaires. Si des données sensibles sont compromises (numéro de sécurité sociale, pièce d'identité), déposez une pré-plainte en ligne et contactez la CNIL. Vous pouvez aussi exercer votre droit d'accès RGPD pour savoir exactement quelles données l'organisme détenait sur vous.

La directive NIS2, c'est quoi ?

NIS2 (Network and Information Security 2) est une directive européenne adoptée en janvier 2023 qui impose des obligations de cybersécurité renforcées aux entreprises et administrations de 18 secteurs critiques (santé, énergie, transports, numérique, etc.). Elle concerne environ 160 000 entités en Europe et prévoit des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.

Un antivirus suffit-il pour être protégé ?

Non. Un antivirus est une couche de protection utile mais insuffisante face aux menaces actuelles. Le phishing cible l'utilisateur, pas la machine. Un ransomware entré via un email piégé peut contourner l'antivirus. La protection repose sur un ensemble de mesures : mises à jour, mots de passe solides, 2FA, sauvegardes, vigilance humaine. L'antivirus est un filet de sécurité, pas une armure complète.

Protégez vos données, exercez vos droits

Les menaces cyber ne vont pas diminuer. Les fuites de 2024 l'ont montré : vos données circulent, qu'elles proviennent de votre hôpital, de votre mutuelle ou de Pôle Emploi. Vous ne maîtrisez pas la sécurité des organismes qui détiennent vos informations. Mais vous maîtrisez vos propres pratiques — et vous disposez de droits pour demander des comptes.

Le RGPD vous donne le pouvoir de savoir quelles données les entreprises et administrations détiennent sur vous, et d'exiger leur suppression quand elle est injustifiée. Fairmi transforme ce droit en action concrète : vous choisissez l'organisme, le droit que vous souhaitez exercer, et la demande est générée et envoyée. Pas de jargon, pas de lettre type à rédiger.

Protéger vos données, c'est deux choses : renforcer vos défenses (les 10 gestes de cet article) et reprendre le contrôle sur ce qui a déjà été collecté.

Exercer mes droits RGPD maintenant ->

Dans la même série

Intermédiaire

DSA et DMA : comment l'Europe réécrit les règles du jeu numérique

Digital Services Act, Digital Markets Act : décryptage des deux règlements européens qui encadrent les plateformes et les gatekeepers. Obligations, sanctions et impact concret pour les citoyens.

17 min
Avancé

IA générative et données personnelles : ce que ChatGPT change pour vous

ChatGPT, Claude, Midjourney : comment l'IA générative collecte vos données, pourquoi le RGPD peine à suivre, ce que l'IA Act impose, et comment vous protéger concrètement.

18 min
Avancé

Souveraineté numérique : l'Europe peut-elle s'émanciper des géants ?

Cloud souverain, Chips Act, Mistral AI, CLOUD Act, Gaia-X : état des lieux complet de la dépendance numérique européenne et des stratégies pour en sortir.

16 min