
Bonjour ️😊,
Je vous retrouve pour l'édition de juin du Récap'IT.
Un RSSI sur deux se dit prêt à payer une rançon, mais la moitié des entreprises qui ont payé n'ont récupéré leurs données que partiellement. L'UE veut réduire sa dépendance aux géants américains à coups de milliards, pendant que la France se fait traîner devant la CJUE pour son retard sur NIS2. Le FBI construit une ville entière pour tester ses enquêteurs en conditions réelles, un serious game français fait vivre une crise ransomware minute par minute, et jusqu'au mot « souverain » devenu un argument marketing que peu d'éditeurs peuvent réellement justifier.
Entre ces lignes, un fil : la différence entre ce qu'une organisation affirme tenir et ce qu'elle tient vraiment le jour où ça compte.
Bonne lecture !
📅 Au programme aujourd'hui :
👉 Go !!
Avant de commencer, je vous invite à nous suivre 👉️

Bruxelles a dévoilé le 3 juin son paquet législatif pour réduire la dépendance numérique des Vingt-Sept aux États-Unis. La Commission européenne le chiffre elle-même : les États membres dépensent 264 milliards d'euros par an en technologies américaines, Microsoft, Google et Amazon dominant le marché du cloud qui fait tourner administrations et entreprises. Le texte central, le Cloud and AI Development Act, instaure quatre niveaux de souveraineté. Pour la commissaire Henna Virkkunen, l'objectif est de s'assurer qu'aucun fournisseur ne dispose d'un « kill switch » sur les services jugés critiques. Elle reconnaît elle-même que le Cloud Act américain, qui oblige les entreprises US à livrer les données qu'elles hébergent, rend le niveau le plus strict difficile à atteindre pour elles. Seul 1 % des services publics européens sera cependant classé assez sensible pour exiger l'exclusion totale des technologies étrangères : Bruxelles vise moins à bannir les GAFAM qu'à faire émerger des alternatives crédibles.
Le marché, lui, a pris de l'avance sur le législateur. Selon l'étude Deloitte « State of AI in the Enterprise », 77 % des entreprises intègrent désormais le pays d'origine dans leurs critères de sélection fournisseurs, et 83 % jugent la souveraineté stratégique pour leur planification. La bascule n'est donc plus politique, elle est déjà opérationnelle côté acheteurs, alors même que la gouvernance peine à suivre : seules 21 % des organisations disposent d'un modèle mature pour encadrer leurs agents IA.
Pour un DSI, la question n'est plus de savoir si la souveraineté deviendra un critère d'achat, elle l'est déjà. Reste à savoir si sa pile IAM et cloud résisterait aujourd'hui à une évaluation de risque de souveraineté, avec ou sans obligation légale pour l'imposer. Le sommeil a duré des décennies, la facture, elle, arrive maintenant.
Source : Politico, IT Social, Le Monde



Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité
Rennes va accueillir le nouveau centre d'excellence de l'OTAN dédié à l'intelligence artificielle, avec une cinquantaine d'employés et un lancement opérationnel prévu en mai 2027. La France est l'unique pays candidat pour l'accueillir, une décision qui doit être validée en juin via une procédure du silence : le centre est acté sauf opposition des 31 autres pays membres.
Le choix de Rennes tient à un écosystème déjà installé : Comcyber, le pôle maîtrise de l'information de la DGA, et l'AMIAD dirigée par Bertrand Rondepierre y sont implantés, aux côtés des directions cyberdéfense d'Orange, Airbus, Thales et Sopra Steria. Le projet, lancé à l'été 2025 par Sébastien Lecornu dans la foulée du sommet IA de Paris, a été porté au Comité militaire de l'OTAN par l'amiral Pierre Vandier. Le général Cyril Carcy fait actuellement le tour des capitales alliées pour recruter des contributeurs financiers.
Avec ce centre, la France en alignera trois sur son sol, aux côtés de Toulouse (espace) et Lyon (opérations aériennes), à égalité avec l'Allemagne. Dans le même temps, Washington vient de fermer le CJOS, son centre d'excellence sur les opérations combinées depuis la mer, piloté depuis Norfolk. Le mouvement est symétrique : les États-Unis se retirent de certaines structures de l'Alliance pendant que Paris occupe le terrain.
Pour un DSI, l'essentiel n'est pas la géographie mais ce qu'elle signale. Un centre d'excellence OTAN produit des doctrines et des standards qui redescendent ensuite vers l'industrie de défense, puis vers les référentiels civils, IAM et gestion des identités des systèmes critiques comprises. Rennes devient un point d'observation utile pour anticiper les prochaines exigences réglementaires côté français.
Source : 01net


58 % des RSSI interrogés aux États-Unis et au Royaume-Uni se disent prêts à payer une rançon pour rétablir rapidement leur activité. Le chiffre vient d'une enquête d'Absolute Security menée auprès de 750 responsables sécurité, et il contredit frontalement la position des autorités : le NCSC britannique rappelle qu'il n'encourage, n'approuve ni ne tolère le paiement, le FBI tient le même discours outre-Atlantique.
Payer ne garantit rien. Selon IDC, 37 % des entreprises touchées ont effectivement réglé une rançon l'an dernier, un chiffre probablement sous-évalué. Parmi elles, 5 % ont récupéré un déchiffrement incomplet, et une enquête Hiscox montre que seules 60 % des PME payeuses ont recouvré tout ou partie de leurs données. À l'inverse, 29 % des entreprises ont restauré leurs fichiers depuis leurs sauvegardes. Mais 33 % des non-payeurs n'ont rien pu récupérer du tout : la différence ne tient pas à la décision de payer, elle tient à ce qui existait avant l'attaque.
Marks & Spencer n'a pas payé après son attaque d'avril 2025. Boutique en ligne fermée plusieurs mois, 400 millions de dollars de perte opérationnelle. Le prix d'un choix de principe sans plan de reprise à la hauteur.
Un PRA qui n'a jamais été testé grandeur nature n'est qu'une hypothèse. Une sauvegarde qui vit sur le même réseau que la production n'est pas une sauvegarde, c'est une copie qui attend d'être chiffrée elle aussi. L'externalisation et les tests réguliers ne sont pas des options de confort, ce sont les deux seules choses qui transforment « je ne paierai pas » en une phrase crédible.
Source : Le Monde Informatique


La Commission européenne s'apprête à saisir la Cour de justice de l'UE contre la France et l'Espagne pour non-transposition de la directive NIS2. Le délai fixé au 17 octobre 2024 est dépassé de près de vingt mois. Après une lettre de mise en demeure en novembre 2024 puis un avis motivé adressé à 19 pays retardataires en mai 2025, Bruxelles franchit l'étape judiciaire, avec une saisine attendue avant la fin de l'année et une sanction financière possible de plusieurs dizaines de millions d'euros. La France avait déjà été renvoyée devant la CJUE en avril pour la directive CER sur la résilience des infrastructures critiques : le dossier NIS2 vient s'ajouter au même banc des accusés.
Le retard tient à un choix français : fusionner la transposition de NIS2 et de la directive CER dans un texte unique, le projet de loi Résilience, adopté au Sénat en mars 2025 mais toujours pas voté à l'Assemblée nationale. La session extraordinaire de juillet 2026 est désormais l'échéance annoncée. Pendant ce temps, plus de 15 000 entités françaises restent dans l'incertitude juridique : le député Philippe Latombe a souligné le paradoxe d'un État qui exige déjà la conformité NIS2 de certaines entreprises victimes de cyberattaques, alors que la loi qui l'impose n'est pas encore promulguée.
Pour un DSI, attendre le vote serait une erreur. L'ANSSI a publié en mars 2026 la version de travail de son référentiel ReCyF, qui détaille déjà les exigences de sécurité physique attendues : contrôle d'accès aux salles serveurs, traçabilité des visiteurs, droits d'accès limités au strict nécessaire. Ces mesures ne sont pas conditionnées à la promulgation de la loi. Le calendrier politique patine, le calendrier de mise en conformité, lui, ne l'attend pas.
Source : Usine Digitale, IT Social, Journal du Net


Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?

Un affilié du gang de rançongiciel Nova a chiffré les serveurs d'Eriell, société de forage pétrolier basée en Ouzbékistan. Erreur de débutant : l'Ouzbékistan fait partie de la CEI, et dans ce milieu, on ne touche jamais à la CEI. La règle protège les opérateurs russophones d'un réveil brutal des autorités locales, qui ferment les yeux tant que les cibles restent occidentales.
Certains rançongiciels détectent un clavier cyrillique et s'autodétruisent avant chiffrement pour éviter l'impair. Le garde-fou a sauté cette fois-ci. C'est la victime elle-même qui a signalé la bévue à Nova. Réponse du gang : excuses officielles, remise en état gratuite, promesse qu'aucune donnée ne fuiterait, et bannissement de l'affilié fautif.
L'anecdote amuse, mais elle dit quelque chose de sérieux : même des criminels appliquent une segmentation stricte de leurs cibles pour limiter le risque.
Source : Korben


Le décret sur l'IA signé par Donald Trump le 2 juin introduit une notion inédite : le covered frontier model. Washington doit fixer un seuil de puissance à partir duquel un modèle bascule dans cette catégorie à haut risque, avec un accès de l'État jusqu'à 30 jours avant sa sortie. Le dispositif formalise une pratique déjà en place avec Google, Microsoft, xAI, OpenAI et Anthropic, et l'étend à la NSA, la CISA, le Trésor et le département de la Guerre. Aucune obligation légale, aucune sanction en cas de manquement.
Pour les entreprises européennes qui déploient ces modèles, la robustesse dépendra du bon vouloir de l'éditeur, pas d'un cadre équivalent à l'AI Act.
Source : L'Usine Digitale

Le FBI a ouvert à Huntsville, en Alabama, un centre d'entraînement de 2 040 mètres carrés qui reconstitue une ville entière dans un bâtiment. Maisons meublées, hôpital, station-service : chaque structure fait tourner de vrais réseaux et de vrais serveurs. Plus de 1 400 agents s'y sont déjà formés depuis février 2025, dont des enquêteurs cyber qui, contrairement aux forensiques, n'accèdent presque jamais aux machines de leurs cibles et travaillent uniquement sur des logs et des flux réseau. Sur place, Active Directory, messageries et pare-feu tournent comme dans une vraie organisation, et l'erreur y est explicitement encouragée comme méthode d'apprentissage.
Un plan de réponse à incident jamais testé que sur le papier ne révèle ses angles morts que le jour de l'incident réel.

BlueSecure a lancé en juin 2026 BlackOut, un jeu vidéo de sensibilisation qui plonge le joueur dans une attaque ransomware, avec vingt minutes pour décider, mobiliser et reprendre le contrôle. Un phishing classique déclenche l'attaque, le groupe cybercriminel réclame 500 bitcoins, et le joueur incarne tour à tour RSSI, DPO, DRH et DG en cellule de crise, entre communication maîtrisée et obligations légales comme les 72 heures pour notifier la CNIL. Payer la rançon entraîne un game over immédiat.
Le jeu a un angle mort révélateur : le DSI n'y apparaît jamais, alors que dans la plupart des PME et ETI, faute de RSSI dédié, c'est lui qui pilote la crise.
Source : Journal du Net

« Souverain » est devenu un argument de vente. Tout le monde l'affiche, peu peuvent le prouver. C'est le constat que fait François Poulet, dirigeant de Youzer, dans une tribune publiée fin juin. Youzer a d'ailleurs été présent au Salon de la Souveraineté Numérique les 30 juin et 1er juillet.
Trois questions suffisent à trier le vrai du marketing.
Sur son stand, Youzer a répondu sans détour : R&D française, hébergement français, équipes françaises. Pas une filiale. Pas un cloud américain avec une interface en français.
La souveraineté n'est pas un drapeau sur une plaquette. C'est une réponse qu'on peut vérifier.
Merci à Cyberexpert pour la publication.


Merci de m'avoir lu jusqu'ici !
Un retour, envie de discuter d'un projet ?
Je suis là pour ça 👋.
Tous les mois je vous envoie mes découvertes, mes analyses sur l'actu IT.
Je fais beaucoup de veille et je partage tout ça !
Je suis Mélanie et je suis responsable marketing de Youzer.
À propos de moi ? J'ai une soif d'apprendre inétanchable ! Je préfère 100 fois lire un livre que voir un film. Je suis une fan d'HP 🧙🏼.
Je fais du running et du roller sport collectif (cherchez pas, c'est dangereux).