Fuites de donnees et Credential Intelligence 2026

53,3 Md

Enregistrements d'identite recaptes sur le Dark Web en 2024, +22 % sur un an (SpyCloud)

22 %

Des fuites de donnees impliquent des credentials voles, premier vecteur d'acces initial (Verizon DBIR 2025)

54 %

Des victimes de ransomware avaient des credentials exposes dans des stealer logs avant l'attaque (DBIR 2025)

241 j

Cycle de vie moyen d'une fuite en 2025, en baisse de 17 jours grace a l'IA de detection (IBM 2025)

1. Le Dark Web comme marche des identites compromises

Il est difficile de parler de Dark Web sans tomber dans la caricature. Ce n'est pas un espace uniforme : c'est un ecosysteme stratifie, avec des forums d'echange, des marketplaces structurees, des canaux Telegram prives et des plateformes de leak accessibles depuis un simple navigateur Tor. Ce qui a change depuis 2022, c'est l'industrialisation de la chaine de valeur : vol, tri, packaging et revente des credentials s'operent desormais avec une efficacite operationnelle comparable a celle d'un editeur SaaS legitime.

1.1 Les volumes qui circulent

SpyCloud a recapte 53,3 milliards d'enregistrements d'identite distincts en 2024, un chiffre porte a 63,8 milliards fin 2025. Ces donnees proviennent d'un corpus cumule de plus de 850 milliards d'actifs exposes circulant dans l'underground criminel. Pour donner une echelle concrte : chaque utilisateur corporate possede en moyenne 146 enregistrements voles lies a son identite, soit 12 fois plus que ce que les methodes traditionnelles de surveillance detectent (environ 11 enregistrements par utilisateur). Pres de 3 milliards de jeux de credentials uniques ont fuite en 2024, et les volumes de stealer logs sur les marketplaces ont ete multiplies par 6,7 depuis 2021.

Ces chiffres ne sont pas symboliques. Ils traduisent une realite operationnelle : les identifiants de vos collaborateurs sont probablement deja dans ces bases, et la probabilite qu'ils soient exploites depend largement de la vitesse a laquelle vous le decouvrez.

1.2 Les marketplaces dominantes en 2025-2026

La saisie de Genesis Market en avril 2023 par le FBI et Europol (Operation "Cookie Monster", 120 arrestations, 80 millions de credentials compromis) n'a pas fait disparaitre le probleme, elle l'a redistribue. Les utilisateurs ont migre principalement vers Russian Market et 2Easy Shop.

Russian Market est en 2025-2026 la marketplace dominante pour les stealer logs, les CVV et les acces RDP. Plus de 180 000 logs d'infostealers y ont ete mis en vente au premier semestre 2025 seul. La vitesse de mise en ligne est ce qui rend ce marche particulierement dangereux : si la machine d'un collaborateur est infectee, ses credentials corporate peuvent etre en vente le jour meme.

2Easy Shop se specialise dans la fraicheur des logs (infections des 24 a 48 dernieres heures), avec des prix unitaires de 5 a 50 dollars. Le paysage s'est fragmente : 37 marketplaces actives connues au second trimestre 2025, avec une nouvelle plateforme emergent toutes les 3 a 4 semaines et une duree de vie moyenne de 7,5 mois. Les saisies n'ont donc qu'un effet temporaire et localise sur l'offre globale.

La resilience du marche criminel

Le demantèlement de Lumma Stealer en mai 2025 par Microsoft, le FBI et Europol (2 300 domaines saisis, 394 000 PC identifies) est emblematique : le malware avait retrouve ses niveaux d'activite pre-takedown des juillet 2025. La suppression d'un acteur cree un vide que d'autres comblent rapidement.

1.3 Les infostealers qui alimentent ce marche

Les infostealers sont des logiciels malveillants concus pour collecter silencieusement les credentials, cookies de session, informations de carte bancaire et donnees de navigateur d'une machine infectee, puis les exfiltrer vers un serveur de commande et controle. Ils se vendent sous forme de Malware-as-a-Service avec des abonnements mensuels.

Selon KELA, trois infostealers concentrent 75 % des 4,3 millions de machines infectees en 2024 : StealC (numero 1, taux de contournement EDR de 66 % en version 2.2.4), LummaC2 (numero 2, environ 51 % de part de marche sur les forums russophones, 10 millions d'infections globales estimees par le FBI) et RedLine (numero 3, 451 millions de credentials uniques collectes en 2024 par Flashpoint avant son demantèlement partiel). Parmi les autres acteurs significatifs : Vidar, Raccoon, RisePro et Rhadamanthys.

Chaque infection par infostealer expose en moyenne 50,9 comptes compromis et 1 861 cookies de session (SpyCloud). Ces cookies permettent dans certains cas de contourner completement le MFA en rejouant une session authentifiee, ce que Genesis Market avait porte a son maximum avant sa fermeture.

1.4 Les courtiers d'acces initiaux : la France au 3e rang mondial

Les courtiers d'acces initiaux (Initial Access Brokers, IABs) occupent un maillon critique dans la chaine d'attaque : ils achetent ou volent des acces a des systemes d'entreprise et les revendent a des groupes ransomware ou a d'autres acteurs malveillants. CrowdStrike rapporte une hausse de 50 % des annonces IAB entre 2023 et 2024, avec un temps de "breakout" moyen, soit le delai entre la compromission initiale et le mouvement lateral dans le reseau, de seulement 48 minutes (record : 51 secondes).

La France est le 3e pays le plus cible au monde par les IABs, apres les Etats-Unis et le Bresil. Les entreprises entre 5 et 50 millions de dollars de chiffre d'affaires representent 60,5 % des listings. 71 % des ventes incluent des credentials privilegies (Domain Admin), et les prix refletent cette valeur : un acces VPN ou RDP basique se negocie entre 200 et 1 000 dollars, un acces Domain Admin ou Cloud Admin de 5 000 a plus de 50 000 dollars.

Type d'acces vendu	Fourchette de prix (2025)	Part des listings
Stealer log individuel	5, 50 $ (~10 $ en moyenne)	Volume le plus important
Acces VPN / RDP basique	200, 1 000 $	55 % des listings IAB (RDP)
Acces VPN (en forte hausse)	500, 3 000 $	33 % des listings (+100 % sur un an)
Acces administrateur local	Quelques milliers de $	--
Domain Admin / Cloud Admin	5 000, 50 000 $+	71 % incluent des droits privilegies
Identite complete (Fullz)	20, 100 $	--

2. Les fuites de donnees en France : ampleur et couts reels

Les statistiques de la CNIL et de l'ANSSI dessinent un tableau sans ambiguite : la France traverse une periode de compromissions massives, et les chiffres de 2025 depassent ceux de 2024 avant meme la fin de l'annee.

2.1 Les notifications en forte hausse

En 2024, la CNIL a recu 5 629 notifications de violations de donnees, soit +20 % par rapport aux 4 669 de 2023. Plus significatif encore : a fin septembre 2025, elle avait deja recu 6 929 notifications, depassant le total annuel 2024 en neuf mois. La presidente Marie-Laure Denis a indique que les notifications "devraient au moins doubler en 2025", soit potentiellement plus de 11 000 sur l'annee complete. La CNIL note que 80 % des violations majeures de 2024 auraient pu etre evitees avec l'authentification multifacteur, ce qui a conduit a rendre le MFA obligatoire pour tout acces distant a des bases de plus d'un million de donnees personnelles depuis le 1er janvier 2026.

L'ANSSI, dans son Panorama de la Cybermenace 2024, rapporte 4 386 evenements de securite traites (+15 %), dont 1 361 incidents confirmes. Les PME, TPE et ETI representent 37 % des victimes connues de ransomware, ce qui invalide l'idee que seules les grandes structures sont ciblees.

2.2 Les quatre incidents majeurs qui ont marque la periode

43M

France Travail, Mars 2024

43 millions d'individus potentiellement affectes (inscrits actuels et des 20 dernieres annees). Vecteur : ingenierie sociale par usurpation de conseillers Cap Emploi. Donnees exposees : noms, dates de naissance, numeros de securite sociale. Amende CNIL : 5 millions d'euros, dont le grief principal etait un systeme autorisant 50 tentatives de mot de passe avant verrouillage.

33M

Viamedis / Almerys, Fevrier 2024

33 millions de personnes affectees, pres de la moitie de la population francaise. Ces prestataires de tiers-payant ont ete compromis via un phishing ciblant un professionnel de sante. Numeros de securite sociale, dates de naissance et informations d'assurance exposes. Plus grande fuite de l'histoire de France jusqu'a France Travail.

24M

Free / Free Mobile, Octobre 2024

24 millions de contrats d'abonnes compromis, dont plus de 5 millions d'IBANs. Vecteur : compromission d'un acces VPN vers l'outil de gestion MOBO. L'attaquant a publie 43,6 Go de donnees sur BreachForums. Amende CNIL record de 42 millions d'euros (27 M€ Free Mobile + 15 M€ Free) pour authentification VPN insuffisante.

6,4M

Bouygues Telecom, Aout 2025

6,4 millions de clients exposes en 2025. S'inscrit dans une vague d'incidents touchant aussi Ficoba (1,2 million de comptes bancaires), Intersport, Mondial Relay et le Ministere des Sports, confirmant que la menace s'est etendue a tous les secteurs et toutes les tailles d'organisation.

2.3 Le cout reel d'une fuite

Le rapport IBM Cost of Data Breach 2024 etablit le cout moyen mondial a 4,88 millions de dollars (+10 % par rapport a 2023, la plus forte hausse depuis la pandemie). Pour la France, ce cout atteint 4,8 millions de dollars, et depasse les 5,4 millions pour les fuites impliquant des donnees multi-environnements. La penurie de competences fait monter la facture a 6,2 millions en moyenne. L'edition 2025 montre une baisse a 4,44 millions (premiere baisse en 5 ans), portee par l'adoption de l'IA : les organisations l'utilisant extensivement economisent 1,9 million de dollars en moyenne.

Donnee cle pour prioriser les investissements : les fuites impliquant des credentials voles ont le cycle de vie le plus long de tous les vecteurs, 292 jours en moyenne (IBM 2024), et coutent en moyenne 4,81 millions de dollars. En d'autres termes, ce sont les plus longues a detecter et parmi les plus couteuses a remedier.

La Cour des Comptes confirme le risque business

Dans son rapport de juin 2025, la Cour des Comptes francaise estime le cout moyen d'une cyberattaque a 5 a 10 % du chiffre d'affaires de l'entreprise. Ce chiffre inclut l'interruption d'activite, la remediation technique, les frais juridiques et les pertes de clients, bien au-dela du simple cout de notification.

3. Le pipeline infostealer vers ransomware : la chaine documentee

Ce qui etait une hypothese operationnelle il y a trois ans est aujourd'hui une realite statistiquement etablie. Le Verizon DBIR 2025, base sur 22 052 incidents dont 12 195 fuites confirmees, fournit la demonstration la plus rigoureuse a ce jour.

3.1 La chaine causale

Sur 503 victimes de ransomware analysees par Verizon, 54 % avaient des credentials de domaine presents dans des marketplaces de stealer logs avant l'attaque. Dans 40 % des cas, ces credentials concernaient des adresses e-mail corporate. Le delai observe entre la vente des credentials et le deploiement du ransomware est souvent de seulement 2 jours.

La chaine suit une logique economique simple : un groupe ransomware n'a pas besoin de voler les credentials lui-meme. Il achete un acces sur Russian Market pour quelques dizaines de dollars, le revend ou l'exploite directement. L'IAB fait l'interface entre le vol et l'exploitation, avec une specialisation croissante de chaque maillon.

Infection par infostealer

Un collaborateur execute un fichier malveillant (piece jointe, logiciel crack, pub malveillante). L'infostealer collecte credentials, cookies de session et donnees navigateur en quelques minutes et les exfiltre silencieusement.

Vente sur marketplace Dark Web

Les logs sont triés, packagés et mis en vente sur Russian Market ou 2Easy dans les heures suivant le vol. Un IAB les achete, teste les credentials sur les portails VPN et RDP de l'entreprise et revend un acces valide a prix eleve.

Exploitation et ransomware

L'acheteur final (groupe ransomware) utilise l'acces pour se deplacer lateralement, escalader les privileges et deployer le chiffrement. Le breakout moyen est de 48 minutes apres l'acces initial.

3.2 Les terminaux non manages : le maillon ignore

Une donnee souvent sous-estimee : 46 % des appareils infectes par des infostealers etaient des terminaux non manages contenant des identifiants corporate (Verizon DBIR 2025). Il s'agit d'ordinateurs personnels de collaborateurs en teleworking, d'appareils de prestataires, de terminaux BYOD. Ces machines echappent aux politiques EDR et MDM de l'entreprise, mais leurs utilisateurs se connectent aux memes portails VPN, aux memes applications SaaS et aux memes messageries que les postes du parc manage.

Les consequences sont directes pour la strategie de defense : le perimetre de surveillance ne peut pas se limiter aux actifs que vous controlez directement. C'est precisement ce que la credential intelligence tente de couvrir en surveillant les expositions de l'exterieur vers l'interieur, independamment de l'origine du terminal infecte.

3.3 L'explosion des e-mails de phishing livrant des infostealers

IBM X-Force Threat Intelligence Index 2025 rapporte une hausse de 84 % des e-mails de phishing delivrant des infostealers en 2024 par rapport a 2023, avec une acceleration a +180 % debut 2025. Les cinq principaux infostealers comptaient a eux seuls plus de 8 millions d'annonces sur le Dark Web en 2024.

Le vecteur d'infection le plus commun reste le phishing classique, mais avec une sophistication croissante : utilisation de l'IA pour personnaliser les leurres, exploitation de marques legitimes (Microsoft, DHL, impots.gouv.fr), et distribution via des publicites Google ou des packages npm compromis pour cibler les developpeurs. L'utilisateur corporate standard n'est pas la seule cible, les comptes administrateurs et les profils DevOps representent une valeur particulierement elevee pour les infostealers.

4. Credential intelligence : du monitoring au renseignement actionnable

La credential intelligence est un concept operationnel encore mal defini dans les frameworks formels, ni le NIST ni Gartner ne lui consacrent une categorie propre, mais qui correspond a une realite pratique bien distincte de la simple surveillance. La difference entre les deux se mesure a l'utilite operationnelle de ce qui est produit.

4.1 Ce que la surveillance basique ne fait pas

Un outil de credential monitoring basique vous alerte que "l'adresse jean.dupont@entreprise.fr a ete trouvee dans une fuite de donnees". C'est une information, mais elle ne permet pas de prendre une decision. Vous ne savez pas si ce credential est encore actif, d'ou il provient (breach historique ou stealer log recent), s'il donne acces a un actif critique, ni s'il est deja exploite.

La credential intelligence produit un renseignement different : "Le credential jean.dupont@entreprise.fr provient d'un log du stealer LummaC2 date du 3 mars 2026, lie a la campagne X, ce credential donne acces au VPN selon les donnees du log, et un IAB associe a RansomHub en a acquis une copie il y a 48 heures." Ce niveau de contexte permet une action immediate et prioritisee.

4.2 Les quatre dimensions operationnelles

Collecte continue

Scanning des forums Dark Web, marketplaces, canaux Telegram prives, paste sites, stealer logs et sites de leak ransomware. La couverture des sources determine directement la qualite du signal.

Analyse et correlation

Matching des donnees exposees contre les actifs corporate, deduplication et evaluation de fraicheur. SpyCloud revele 12 fois plus d'expositions via son matching holistique que les methodes traditionnelles.

Contextualisation

Enrichissement avec le contexte de la menace : source de l'exposition, lien avec des campagnes connues, association avec des IABs ou des groupes ransomware specifiques. C'est cette etape qui transforme une alerte en renseignement.

Remediation automatisee

Reinitialisation de mots de passe via Active Directory ou SOAR, invalidation de cookies de session, re-enrolement MFA. SpyCloud rapporte une remediation possible en moins de 5 minutes apres detection.

4.3 Etat du marche et positionnement des editeurs

Le marche se structure autour de plusieurs categories. Les plateformes de Digital Risk Protection Services (SOCRadar, Cyble, Recorded Future, Flashpoint, ZeroFox, Cyberint/Check Point) offrent une surveillance large incluant marque, domaines et credentials. Les plateformes d'Identity Threat Protection (SpyCloud, Flare) se concentrent sur les credentials avec remediation integree, Flare revendique un deploiement en 30 minutes et une reduction de 95 % du temps d'investigation.

En novembre 2025, Gartner a publie son premier Magic Quadrant for Exposure Assessment Platforms (20 editeurs evalues), avec Tenable, Qualys et Rapid7 comme Leaders, un signal fort que la surveillance de l'exposition, incluant le monitoring Dark Web, est desormais consideree comme une capacite standard et non plus comme une option avancee.

Pour les organisations francaises, la question de la souveraineite des donnees se pose sur ce segment : les logs collectes par ces plateformes contiennent des informations sensibles sur vos collaborateurs et vos systemes. BEAROPS propose une approche souveraine dans ce contexte, avec des donnees hebergees en France et conformes aux exigences SecNumCloud, evitant l'exposition aux legislations extra-territoriales type CLOUD Act qui s'appliquent aux editeurs americains.

EASM : Guide Complet de la Gestion de Surface d'Attaque Externe

Comprendre comment cartographier vos actifs exposes et identifier les entrees potentielles avant les attaquants

5. Integrer la surveillance Dark Web dans un programme CTEM

La surveillance Dark Web ne devrait pas etre une capacite isolee. Deployee seule, elle produit des alertes sans cadre de priorisation ni processus de remediation structure. C'est precisement ce que le framework CTEM (Continuous Threat Exposure Management, Gartner 2022) apporte : une organisation en cinq phases qui transforme les donnees d'exposition en decisions operationnelles.

5.1 Le CTEM en cinq phases

Gartner definit le CTEM comme "un ensemble de processus et de capacites permettant aux entreprises d'evaluer de maniere continue et coherente l'accessibilite, l'exposition et l'exploitabilite de leurs actifs numeriques et physiques". Point important : ce n'est pas un produit mais un programme, qui articule personnes, processus et technologies.

Scoping : definition des surfaces d'attaque prioritaires alignees sur les enjeux metier, surface externe, SaaS, chaine d'approvisionnement, identites.
Discovery : cartographie reelle de la surface d'attaque, incluant vulnerabilites, misconfigurations, secrets exposes et credentials sur le Dark Web. Gartner cite explicitement les "sources deep et dark web" comme input de cette phase.
Prioritization : classement par exploitabilite reelle et impact business. Savoir qu'un credential VPN est activement vendu par un IAB change immediatement sa priorite de remediation.
Validation : simulation d'attaques (pentest, BAS, red/purple team) pour confirmer que les expositions sont reellement exploitables, et non des faux positifs.
Mobilization : coordination interequipes de la remediation. Gartner predit que les organisations mettant en oeuvre une mobilisation transversale obtiendront 50 % de gains d'optimisation securite supplementaires.

5.2 Comment la credential intelligence s'integre dans chaque phase

La surveillance Dark Web n'est pas une phase supplementaire du CTEM, elle alimente plusieurs phases existantes avec des donnees differentes.

En phase de Discovery, les fuites de credentials, les ventes d'acces IAB et les discussions sur les forums underground constituent des inputs critiques de cartographie. Ils revelent des expositions que le scanning interne ne peut pas voir : un credential reutilise sur un service tiers, un acces VPN compromis via un terminal personnel, un sous-traitant dont les credentials ont fuite.

En phase de Prioritization, le contexte Dark Web transforme la priorisation. Une vulnerabilite CVSSv3 de score 7,5 sans exploit publique peut passer apres un credential Domain Admin en vente active sur Russian Market, meme si ce credential est theoriquement couvert par le MFA, car le log de l'infostealer peut contenir les cookies de session qui le contournent.

En phase de Mobilization, les plateformes de credential intelligence modernes permettent une remediation automatisee directement via Active Directory ou via des integrations SOAR, sans necessiter d'intervention manuelle pour chaque credential detecte.

La prediction Gartner arrive a echeance

Gartner avait predit en 2022 que les organisations priorisant le CTEM seraient 3 fois moins susceptibles de subir une fuite d'ici 2026. Cette echeance arrive. Les donnees de terrain convergent : 29 % des organisations ont implemente le CTEM et 46 % sont en cours de developpement, selon Gartner Peer Connect.

5.3 Ce que le CESIN observe sur le terrain francais

Le Barometre CESIN 2025 (397 repondants, janvier 2026) montre que 40 % des organisations ont subi au moins une cyberattaque significative en 2025, en baisse continue depuis 65 % en 2019, ce qui indique que les investissements securite produisent des resultats. Les vecteurs dominants sont le phishing (55 %), l'exploitation de vulnerabilites (41 %) et les attaques via tiers (35 %, montant a 43 % dans les grandes entreprises). La principale consequence declaree est le vol de donnees (52 %).

Cote maturite, le Wavestone Cyber Benchmark 2025 etablit la protection moyenne contre les 29 vecteurs de ransomware a 56 %. La maturite NIS2 moyenne est de 80 % mais aucune entreprise n'est pleinement conforme, les lacunes portent notamment sur les risques tiers, la cartographie des actifs et la gouvernance. Ces deux angles morts correspondent precisement a ce que la credential intelligence et le CTEM adressent.

L'externalisation de la gestion de la surface d'attaque progresse : elle est passee de 16 % a 22 % des entreprises membres du CESIN entre 2024 et 2025, et l'outsourcing SOC de 29 % a 35 %. Les organisations cherchent a combler le deficit de competences (ratio actuel : 1 expert cybersecurite pour 1 016 employes) en externalisant les capacites les plus techniques.

6. Obligations reglementaires : RGPD, NIS2 et DORA face aux fuites de credentials

La pression reglementaire cree desormais une obligation de fait de surveillance proactive des expositions. Ce n'est plus une interpretation volontariste de textes generaux, les sanctions recentes le montrent sans ambiguite.

6.1 RGPD : la surveillance proactive comme obligation de moyens

La decouverte de credentials sur le Dark Web constitue une violation de donnees personnelles au sens de l'article 4(12) du RGPD. Elle declenche les obligations de l'article 33 (notification a la CNIL sous 72 heures) et potentiellement de l'article 34 (information des personnes si le risque est eleve). Les fuites de credentials sont generalement qualifiees de violations a risque eleve, car elles permettent l'usurpation d'identite, la prise de controle de comptes et la fraude.

L'article 32 (securite des traitements) est de plus en plus interprete comme imposant une obligation de surveillance proactive des expositions. La CNIL note que "la fuite n'est trop souvent absolument pas detectee avant que les donnees exfiltrees ne soient mises en vente", formulation qui implique clairement que l'organisation aurait du disposer de moyens de detection avant ce stade.

6.2 NIS2 : des obligations etendues malgre le retard de transposition

La transposition francaise de NIS2 n'est pas finalisee en mars 2026, alors que la date limite europeenne etait le 17 octobre 2024. La Commission europeenne a adresse a la France un avis motive le 7 mai 2025 pour defaut de notification. La "Loi Resilience" a ete adoptee en premiere lecture par le Senat en mars 2025 et votee en commission a l'Assemblee nationale en septembre 2025, mais l'examen en seance pleniere est evoque pour juillet 2026.

Ce retard ne dispense pas les entites concernees de se preparer. NIS2 etendra le perimetre de 300 entites sous NIS1 a 15 000-18 000 entites en France, avec un cadre de notification en trois temps (alerte en 24 heures, notification en 72 heures, rapport final en 1 mois), la responsabilite personnelle des dirigeants et des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. L'ANSSI a defini 20 objectifs de securite pour les entites essentielles, dont plusieurs concernent directement la gestion des identites et la surveillance des acces.

6.3 DORA : pleinement applicable depuis janvier 2025

DORA (Reglement UE 2022/2554) est pleinement applicable depuis le 17 janvier 2025. En tant que reglement europeen, il s'applique directement sans transposition. Il couvre plus de 20 types d'entites financieres et leurs prestataires ICT critiques. La liste des prestataires ICT tiers critiques a ete publiee par les ESAs en novembre 2025.

DORA cree une obligation pratique de surveillance du Dark Web. L'article 13 impose d'apprendre des incidents externes. Les articles 24-27 requierent des tests de resilience informes par des "sources de threat intelligence incluant le monitoring Dark Web, les IOCs sectoriels et les incidents historiques". Les articles 28-30 sur la gestion des risques tiers incluent la surveillance des "credentials fuites et systemes compromis discutes sur les forums underground". La notification d'incident suit un calendrier encore plus serre que le RGPD : 4 heures apres classification comme incident majeur, 24 heures apres detection.

6.4 La triple conformite pour les institutions financieres

Cadre	Statut France	Delai de notification	Sanctions max
RGPD	Applicable	72h a la CNIL	4 % CA mondial ou 20 M€
DORA	Applicable (jan. 2025)	4h / 24h / 72h / 1 mois (ACPR)	1 % CA moyen journalier
NIS2	En cours de transposition	24h / 72h / 1 mois (ANSSI)	10 M€ ou 2 % CA mondial

Pour une institution financiere, la superposition est maximale : DORA et RGPD simultanement, NIS2 pour les aspects non couverts par DORA. Deux procedures de notification paralleles sont requises : 4h/72h/1 mois a l'ACPR (DORA) et 72h a la CNIL (RGPD). La detection rapide des credentials exposes, que permet la credential intelligence, est le seul moyen pratique de tenir ces delais.

6.5 Les sanctions CNIL recentes : un signal clair

L'annee 2025 marque un record historique avec 83 sanctions CNIL totalisant 486,8 millions d'euros (contre 55,2 millions pour 87 sanctions en 2024). Les deux grandes affaires de 2026 illustrent directement le lien entre pratiques de gestion des acces et niveaux d'amendes :

Free / Free Mobile (42 millions d'euros) : l'amende la plus elevee jamais prononcee par la CNIL en matiere de breach. Les griefs principaux portaient sur l'authentification VPN insuffisante, la detection d'anomalies inefficace et la retention excessive de donnees. Pas de vulnerabilite zero-day exploitee, une configuration insuffisante et un acces VPN qui n'aurait pas du fonctionner avec les credentials utilises.

France Travail (5 millions d'euros) : un systeme permettant 50 tentatives de mot de passe avant verrouillage sur 43 millions de personnes. Les mesures de securite identifiees dans le DPIA n'avaient jamais ete implementees.

Ce que la CNIL observe de maniere recurrente

Les defaillances identifies dans les sanctions recentes sont : credentials compromis comme vecteur principal, sous-traitants et tiers comme source frequente de faille, detection tardive (souvent apres la mise en vente sur le Dark Web), et absence de mesures basiques comme le MFA, le controle d'acces et le monitoring. Ce sont exactement les angles morts que la credential intelligence et un programme CTEM adressent.

Points cles a retenir

Les credentials voles representent le premier vecteur d'acces initial (22 % des fuites selon Verizon) et ont le cycle de detection le plus long, 292 jours en moyenne.
54 % des victimes de ransomware avaient des credentials de domaine en vente sur des marketplaces Dark Web avant l'attaque, souvent 2 jours avant le deploiement.
La France est le 3e pays le plus cible par les courtiers d'acces initiaux, avec un cout moyen de fuite de 4,8 millions de dollars.
La credential intelligence va au-dela du simple monitoring : elle produit un renseignement actionnable avec contexte de la menace et remediation automatisee possible en moins de 5 minutes.
Son integration dans un programme CTEM permet de couvrir les phases de Discovery et Prioritization avec des donnees que le scanning interne ne peut pas voir.
DORA, RGPD et NIS2 (a venir) creent une obligation pratique de surveillance proactive, les amendes CNIL 2026 (42 M€ pour Free, 5 M€ pour France Travail) en definissent le standard attendu.