Quand vos prompts nourrissent les arnaques : l’IA, nouvel eldorado des scammeurs
Quand vos prompts nourrissent les arnaques : l’IA, nouvel eldorado des scammeurs Derrière la fluidité des conversations avec les modèles d’IA (ChatGPT, Gemini, Claude, Grok…), secache un risque majeur : la réexploitation de vos données personnelles. Les escrocs n’ont plus besoin depirater vos boîtes mail : une simple question bien formulée suffit à agréger, relier et exploiter vos tracesnumériques. Menace Exploitation des prompts et des données publiques par les escrocs pour créer du phishing, de l’usurpation d’identité ou alimenter le marché noir des données. Mécanisme Les LLM agrègent des informations éparpillées (forums, blogs, réseaux sociaux, fuites de données) et les rendent lisibles et utilisables. Exemple Phishing hyper-ciblé, recomposition d’identités, revente à des data brokers peu scrupuleux. Facteur aggravant Conservation et partage des prompts par les fournisseurs d’IA, absence de mécanisme clair de retrait des données du training. Comment l’IA amplifie le problème Les grands modèles de langage sont entraînés sur des milliards de pages publiques, qui contiennentsouvent des données personnelles. Lorsqu’un utilisateur interagit avec ces IA, les prompts peuvent êtreenregistrés et utilisés pour affiner les modèles. Selon une étude d’Incogni (2025), la majorité des IAgrand public collectent et partagent les données des utilisateurs avec des filiales ou partenaires, sansréel moyen de retrait a posteriori. Une fois publiées ou aspirées, vos informations deviennent impossiblesà remettre en arrière : l’effet dentifrice hors du tube. Conséquences pour les utilisateurs Les informations agrégées par IA permettent de :– Construire des campagnes de phishing ultra ciblées.– Usurper l’identité numérique de victimes.– Revendre des données enrichies à des acteurs tiers.Le passage d’une masse d’informations disparates à un profil unifié démultiplie les capacités desescrocs. Recommandations – Éviter d’inclure des informations personnelles dans vos prompts (emails, numéros, adresses).– Privilégier les versions d’IA offrant des garanties explicites sur la confidentialité (opt-outd’entraînement).– Mettre en place des alertes (Google Alerts, haveibeenpwned) pour surveiller l’exposition de sesdonnées.– Sensibiliser les équipes aux risques liés à la saisie d’informations sensibles dans des services cloudexternes. Conclusion L’intelligence artificielle démocratise l’accès à des capacités de corrélation et d’agrégation de donnéesjadis réservées aux services de renseignement. Elle devient de fait un outil puissant pour les escrocs etles acteurs malveillants. La vigilance des utilisateurs et la mise en place de garde-fous réglementairesseront indispensables pour éviter que vos prompts ne deviennent le carburant des prochaines arnaquesmassives. Sources Incogni (2025) ; Mashable ; enquêtes sur la collecte et le partage des données par les fournisseurs d’IAgrand public. Besoin d’un accompagnement pour encadrer l’usage de l’IA en entreprise ? Nos experts vous aident à sécuriser et maîtriser vos outils d’IA : audit, conformité, gouvernance, évaluation des risques…Faites le point dès maintenant sur vos usages. Demander mon diagnostic IA personnalisé
DeepSeek : quand un modèle d’IA code en fonction de votre affiliation politique
Deepseek DeepSeek : quand un modèle d’IA code en fonction de votre affiliation politique DeepSeek, modèle d’IA chinois largement adopté pour la génération de code, présentedes différences majeures de qualité selon l’affiliation politique ou la provenance déclaréede l’utilisateur. Des recherches indépendantes montrent que, pour certains groupesconsidérés sensibles par Pékin, le système génère des logiciels significativement plusvulnérables ou refuse tout simplement de répondre. Contexte et méthodologie Les résultats proviennent d’une série d’expérimentations menées par CrowdStrike. Leschercheurs ont simulé différentes organisations et ont demandé à DeepSeek de générerdu code pour un système de contrôle industriel. Les métriques évaluées incluent le tauxd’erreurs (bugs), la présence de vulnérabilités classiques (injections SQL, dépassementsde tampon, etc.) et le taux de refus de la requête par le modèle. Résultats saillants -Taux d’erreurs moyens observés : environ 22.8% sur des prompts standards. Pour desprompts évoquant l’Etat islamique, ce taux grimpe à 42.1% presque le double. – Taux de refus : DeepSeek a refusé de répondre dans 61% des demandes mentionnantl’Etat islamique et dans 45% des demandes liées au Falun Gong ; pour les requêtesprésentées comme provenant des Etats-Unis, le taux de refus est quasiment nul. – Qualité des livrables : quand DeepSeek accepte de répondre pour des groupesdéfavorisés, le code renvoyé contient plus fréquemment des injections SQL, des bufferoverflows et d’autres failles exploitables. Hypothèses et explications possibles 1) Directives ou contraintes politiques : l’IA aurait été configurée pour aligner ses sortiesavec les intérêts et la réglementation locales. 2) Biais d’entrainement : le modèle aurait intégré des sources de qualité inégale selon lessujets. 3) Sabotage intentionnel : certains experts évoquent un sabotage algorithmique ciblé. Risques pour les entreprises Un développeur peu méfiant pourrait intégrer du code généré en production sansidentification de failles, ouvrant la voie à des compromissions facilitées. A l’échellesupply-chain, l’utilisation généralisée d’un tel modèle introduit un vecteur d’attaquesystémique. Recommandations – Toujours auditer et scanner le code généré par IA.– Mettre en place des tests automatisés de sécurité.– Diversifier les outils de génération.– Conserver la traçabilité des prompts et modèles utilisés.– Sensibiliser les équipes aux biais potentiels. Conclusion L’affaire DeepSeek illustre une évidence : l’IA n’est pas neutre. Les équipes doiventadopter une posture de méfiance constructive, imposer des contrôles et diversifier lessources, en attendant une gouvernance internationale plus robuste. Sources -The Washington Post (16 septembre 2025)– Tom’s Hardware, Reuters, ComputerWorld Besoin d’un accompagnement ? Que ce soit pour une mise en conformité, un audit ou un test d’intrusion, nos experts sont à votre écoute. Contactez-nous dès aujourd’hui pour un diagnostic. Demander mon diagnostic personnalisé
Communiqué de presse : 1er Label DORATRUST délivré
Communiqués de presse SecuriTrust délivre son premier label DORATrust à Cegedim Assurances Paris, le 10 septembre 2025 – Dans le cadre de l’entrée en vigueur du règlement européen DORA (Digital Operational Resilience Act), SecuriTrust, cabinet indépendant spécialisé en cybersécurité, annonce la labellisation DORATrust de Cegedim Assurances, acteur de référence des solutions logicielles et services pour l’assurance de personnes. Il s’agit de la première labellisation DORATrust attribuée dans le secteur de l’assurance de personnes, positionnant ainsi Cegedim Assurances comme précurseur dans la mise en conformité proactive avec le règlement DORA. Un label exigeant fondé sur plus de 350 contrôles DORATrust est un label de conformité élaboré par SecuriTrust, aligné sur les exigences du règlement DORA, entré en application en janvier 2025.Il repose sur un référentiel structurant de plus de 350 contrôles, couvrant l’ensemble des exigences en matière de cybersécurité, gestion des risques IT, résilience opérationnelle et continuité d’activité. En tant qu’acteur de confiance, SecuriTrust accompagne les entités financières et leurs prestataires critiques dans la compréhension et l’implémentation opérationnelle des nouveaux standards européens. Une démarche volontaire et collaborative Dès le début de l’année 2025, Cegedim Assurances a engagé une évaluation indépendante de sa conformité DORA auprès de SecuriTrust.Cette démarche, volontaire et structurée, illustre une volonté partagée de renforcer la sécurité, la fiabilité et la résilience des services proposés aux clients. « En tant qu’expert reconnu dans le domaine de la cybersécurité, nous sommes fiers d’accompagner Cegedim Assurances dans sa labellisation DORATrust. Cette première collaboration sur les sujets de résilience reflète une ambition partagée : garantir un haut niveau de sécurité et de fiabilité pour les clients», déclare Jad JOUMBLAT, Directeur de SecuriTrust. Une nouvelle ère pour la résilience numérique en Europe Le règlement DORA constitue une révolution réglementaire pour les entités financières et leurs prestataires TIC (Technologies de l’Information et de la Communication).Il impose un cadre harmonisé visant à renforcer la résilience numérique du secteur, dans un contexte d’exposition croissante aux cybermenaces et aux interruptions opérationnelles. Avec cette première labellisation, SecuriTrust affirme son rôle de tiers de confiance, capable d’évaluer objectivement la conformité des acteurs face à ces exigences renforcées. A propos SecuriTrust est un cabinet indépendant spécialisé en cybersécurité, continuité d’activité et conformité réglementaire. Fort d’une expertise reconnue dans l’audit, l’évaluation et la certification des dispositifs numériques critiques, SecuriTrust accompagne les organisations dans leur mise en conformité avec les standards internationaux (ISO, NIS2) et européens, notamment DORA. Besoin d’un accompagnement ? Que ce soit pour une mise en conformité, un audit ou un test d’intrusion, nos experts sont à votre écoute. Contactez-nous dès aujourd’hui pour un diagnostic. Demander mon diagnostic personnalisé
Nouvelle version des référentiels HDS : les évolutions majeures
NOUVELLE VERSION DES REFERENTIELS HDS LES EVOLUTIONS MAJEURES Hébergeurs de données de santé : un tsunami réglementaire approche, êtes-vous prêts ? Le monde de l’hébergement des données de santé (HDS) s’apprête à être bouleversé par une vague réglementaire d’une ampleur sans précédent. Une nouvelle version des référentiels HDS, bien plus stricte, entre en vigueur, transformant les pratiques actuelles et introduisant de nouvelles contraintes majeures. Ce changement massif appelle les hébergeurs de données de santé à repenser leurs stratégies et à s’adapter rapidement pour rester conformes et compétitifs. La Souveraineté des Données au Cœur du Changement L’une des réformes les plus significatives concerne la souveraineté des données. Dorénavant, les hébergeurs devront impérativement stocker les données de santé sensibles en territoire européen, mettant ainsi fin à l’ère du stockage délocalisé. Cette mesure vise à garantir un contrôle renforcé sur ces informations précieuses et à les protéger des lois extraterritoriales. En insistant sur le stockage des données au sein de l’Union Européenne, les nouvelles règles cherchent à minimiser les risques de fuite et à éviter l’application de lois étrangères sur des données critiques. Cette évolution répond à une préoccupation croissante en matière de cybersécurité et de protection des données personnelles. En centralisant le stockage en Europe, les législateurs espèrent non seulement renforcer la sécurité mais aussi favoriser l’émergence de solutions technologiques locales, stimulantes pour l’économie numérique européenne. La Souveraineté des Données au Cœur du Changement Outre la souveraineté des données, la nouvelle version des référentiels HDS introduit une multitude d’exigences inédites pour améliorer la protection contre les cybermenaces toujours plus sophistiquées. Voici quelques-unes des nouvelles obligations : 1. Mesures de Sécurité Renforcées L’adoption de la norme ISO 27001 version 2022 devient obligatoire. Cette norme internationale, reconnue pour ses exigences strictes en matière de management de la sécurité de l’information, constitue désormais une base incontournable. Cependant, les hébergeurs ne doivent pas se contenter de cette norme : ils doivent également mettre en place des mesures de protection des données supplémentaires, adaptées aux menaces spécifiques et évolutives du secteur de la santé. Cela inclut la mise en place de systèmes de détection et de réponse aux incidents plus robustes, le chiffrement des données sensibles et la formation continue des équipes à la cybersécurité. 2. Transparence Accrue La nouvelle réglementation impose une transparence renforcée envers les clients. Les hébergeurs doivent désormais fournir des informations détaillées sur les sous-traitants impliqués, les risques d’accès non autorisés et les transferts de données vers des pays tiers. Cette transparence accrue vise à garantir que les clients soient pleinement informés des risques potentiels et des mesures prises pour les atténuer. Les clients doivent pouvoir comprendre la chaîne de traitement de leurs données et les mesures de sécurité mises en place à chaque étape. 3. Cartographie des Transferts de Données Tous les transferts de données de santé vers des pays en dehors de l’Espace Économique Européen (EEE) doivent être rendus publics. Cette mesure assure une visibilité totale sur la circulation de ces informations sensibles, permettant une meilleure traçabilité et gestion des données. La cartographie des transferts de données permet de détecter les points de vulnérabilité potentiels et de renforcer la sécurité là où c’est nécessaire. En rendant ces informations accessibles, les hébergeurs offrent une garantie supplémentaire de leur engagement envers la protection des données de santé. S’adapter : Un Défi et une Opportunité Face à ce tsunami réglementaire, les hébergeurs de données de santé ont deux options : s’adapter ou sombrer. La mise en conformité avec la nouvelle version des référentiels HDS est indispensable pour continuer à opérer sur le marché. Cependant, cette nouvelle réglementation peut aussi être vue comme une opportunité. En adoptant ces exigences avec proactivité, les hébergeurs peuvent se positionner comme des acteurs de confiance, sécurisés et responsables dans le domaine sensible de la santé. S’adapter : Une nécessité pour la continuité Pour les hébergeurs de données de santé, la mise en conformité n’est pas seulement une obligation légale mais une nécessité pour continuer à opérer. Le non-respect des nouvelles exigences pourrait entraîner des sanctions sévères, allant de lourdes amendes à la perte de licences d’exploitation. De plus, dans un secteur où la confiance est primordiale, tout manquement pourrait gravement nuire à la réputation d’un hébergeur. Se démarquer : Une opportunité de renforcement Les nouvelles exigences peuvent également être perçues comme une chance de se démarquer. En adoptant ces normes plus strictes de manière proactive, les hébergeurs peuvent démontrer leur engagement envers la sécurité et la confidentialité des données de santé. Cela peut renforcer leur positionnement sur le marché, attirer de nouveaux clients et fidéliser ceux existants en prouvant leur fiabilité et leur professionnalisme. SecuriTrust : Votre partenaire pour la conformité HDS Naviguer dans ce nouveau paysage réglementaire peut sembler complexe et intimidant. C’est là qu’intervient SecuriTrust. En tant qu’experts en cybersécurité et en conformité réglementaire, nous vous proposons des audits complets et personnalisés pour identifier vos écarts de conformité et vous accompagner dans la mise en œuvre des actions correctives nécessaires. Ne vous laissez pas submerger N’attendez pas que le tsunami vous submerge. Contactez-nous dès aujourd’hui pour garantir votre conformité HDS et bâtir un avenir numérique plus sûr et plus souverain pour les données de santé de vos clients. En adaptant votre entreprise aux nouvelles exigences, non seulement vous évitez les sanctions, mais vous renforcez également la confiance de vos clients. Saisissez cette opportunité pour vous démarquer dans un marché en constante évolution et montrez que vous êtes prêt à protéger les données de santé avec le plus haut niveau de sécurité et de transparence. — En somme, le renforcement des référentiels HDS marque une étape cruciale dans la protection des données de santé. Les hébergeurs doivent voir au-delà des contraintes réglementaires et envisager les bénéfices à long terme de ces nouvelles normes. Une approche proactive et rigoureuse peut transformer ce défi en une occasion unique de renforcer la sécurité, la confiance et la compétitivité sur le marché. Ne sous-estimez pas l’importance de cette transition : préparez-vous dès maintenant pour un avenir plus sûr et plus transparent