Demander une démo
AccueilBlogLa double peine : attaqué, puis sanctionné
Conformité

La double peine : attaqué, puis sanctionné

Être victime d'une cyberattaque ne vous protège pas d'une amende. Si votre sécurité était insuffisante en amont, le régulateur peut sanctionner — en plus du préjudice.

À retenir

  • Une sécurité insuffisante avant l'incident peut être sanctionnée, en plus du préjudice.
  • Précédents : France Travail 5 M€, Yahoo 10 M€, Marriott £18,4 M.
  • La meilleure défense : une diligence documentée (RGPD art. 32).

C'est le cœur de notre approche. Une cyberattaque ne s'arrête pas au vol de données ou au virement détourné. Si le régulateur estime que vos mesures de sécurité étaient insuffisantes avant l'incident, il peut prononcer une amende. Vous payez deux fois.

Des précédents concrets

  • France Travail — après une fuite touchant 36,8 millions de personnes (mars 2024), la CNIL a infligé une amende de 5 millions d'euros (janvier 2026), pour méconnaissance de principes essentiels de sécurité. Lire l'étude de cas →
  • Yahoo — le Conseil d'État a validé une amende de 10 millions d'euros de la CNIL.
  • Marriott — au-delà d'un règlement de 52 M$ aux États-Unis, le régulateur britannique (ICO) a infligé 18,4 millions de livres pour des manquements RGPD liés à une brèche restée invisible pendant des années. Lire l'étude de cas →

Le contexte s'alourdit

La CNIL a reçu 5 629 notifications de violation de données en 2024, soit 20 % de plus qu'en 2023 — et les violations de très grande ampleur ont doublé en un an. Le RGPD (article 32) exige des mesures « appropriées » : l'absence de l'évidence (DMARC, MFA, double validation) devient difficile à défendre.

Comment éviter la seconde peine

La défense la plus solide, c'est la diligence prouvée : avoir cartographié son exposition, formé ses équipes, verrouillé les vecteurs — et pouvoir le documenter. C'est précisément ce que produit notre démarche, preuves à l'appui.

Sources : CNIL (délibérations et rapport annuel 2024) ; ICO (UK) ; Conseil d'État ; presse spécialisée (2024-2026).

Comprendre la double peine → · Mesurer mon exposition →

Questions fréquentes

Qu'est-ce que la « double peine » en cybersécurité ?

Le fait de subir l'attaque (vol de données, fraude) puis une amende du régulateur si vos mesures de sécurité étaient jugées insuffisantes en amont.

Une victime peut-elle vraiment être sanctionnée ?

Oui. Le RGPD (art. 32) impose des mesures appropriées ; leur absence peut être sanctionnée même quand l'entreprise est victime, comme l'illustre l'amende de 5 M€ à France Travail.

Comment réduire le risque d'amende ?

En documentant sa diligence : exposition cartographiée, équipes formées, vecteurs verrouillés, et preuves prêtes pour un contrôle.

Passez à l'action

Voyez ce qu'un attaquant voit.

Le plus concret pour commencer : un scan de votre exposition réelle.

Lancer mon scan →Réserver une démo