L'essentiel du 24 mai 2026

Alan alerte sur une fuite de données chez Almerys, son prestataire de tiers-payant ↗ Alan a notifié ses adhérents entreprises d'une fuite de données chez Almerys, son prestataire de tiers-payant, exposant potentiellement état civil, numéro de sécurité sociale et numéro de contrat. Les systèmes propres d'Alan ne sont pas compromis, mais l'incident illustre le risque tiers-partie (third-party risk) inhérent à toute chaîne de sous-traitance de données sensibles. Pour les dirigeants de PME clientes d'Alan, une vérification des clauses contractuelles avec leurs prestataires de santé et une revue de leur cartographie des sous-traitants RGPD s'imposent. Côté conformité, cet incident rappelle l'obligation de notifier la CNIL sous 72h et d'informer les personnes concernées dès qu'un risque élevé est caractérisé, y compris lorsque la faille vient d'un sous-traitant.

Next - Flux Complet / 3 min

Marketer that claimed it could tap devices for ad targeting will pay $880K settlement ↗ Une société de marketing américaine a accepté de payer 880 000 dollars pour clore des poursuites liées à des allégations de ciblage publicitaire via l'activation à distance de microphones et caméras d'appareils connectés — pratique qui, si avérée, constituerait une violation flagrante des législations sur la vie privée. Deux autres entreprises partenaires règlent chacune 25 000 dollars dans la même affaire. Pour les dirigeants français, ce cas illustre concrètement les risques juridiques et financiers liés à des prestataires marketing utilisant des SDK tiers intégrés dans des applications mobiles, souvent sans visibilité côté client. Dans le contexte RGPD, cela rappelle l'importance d'auditer les chaînes de sous-traitance data et les outils d'adtech avant tout déploiement.

Ars Technica - All content / 4 min

Face à la multiplication des arnaques financières, des associations attaquent Meta, TikTok et Google ↗ Trente associations de consommateurs, dont le BEUC et Que Choisir, ont déposé plainte contre Meta, TikTok et Google pour non-respect du Digital Services Act (DSA), qui leur impose de lutter activement contre les publicités frauduleuses. L'enquête menée entre décembre 2025 et début 2026 documente la persistance d'arnaques financières diffusées via ces plateformes, ciblant notamment des épargnants et investisseurs particuliers. Pour les établissements financiers et TPE/PME, cela signifie un risque accru d'usurpation de marque et de détournement de clients via de fausses publicités. À surveiller : l'évolution des obligations de conformité DSA pour les annonceurs légitimes et les éventuelles sanctions qui redéfiniront les règles de la publicité digitale en Europe.

Siècle Digital / 4 min

Ce VPN promettait l’anonymat total aux hackers : ses serveurs viennent d’être saisis ↗ First VPN, actif depuis 2014, vient d'être démantelé lors d'une opération coordonnée par les autorités françaises et néerlandaises avec Europol et Eurojust : ses serveurs ont été saisis après onze ans de service aux cybercriminels. Ce VPN proposait plusieurs niveaux tarifaires pour masquer les traces d'activités malveillantes via des redirections multi-serveurs. Pour les dirigeants de banques et PME, ce démantèlement confirme que les infrastructures utilisées pour des attaques (ransomware, fraude) ne sont pas indestructibles, et que la coopération judiciaire européenne monte en efficacité. Concrètement, cela signifie aussi que les prestataires ou employés utilisant des VPN non référencés sur vos SI méritent une attention accrue dans vos politiques de sécurité.

Siècle Digital / 3 min

IA générative : l’Arcep appelle à faire de l’écoconception un « levier stratégique » ↗ L'ARCEP pointe les impacts énergétiques significatifs de l'IA générative et appelle à une meilleure mesure des consommations sur l'ensemble de la chaîne de valeur (entraînement, inférence, infrastructure). L'autorité préconise d'intégrer l'écoconception comme critère stratégique dans le déploiement des services IA, au même titre que la performance ou le coût. Pour les directions financières et les dirigeants de TPE/PME, cela signifie anticiper de futures obligations réglementaires sur la traçabilité environnementale des outils IA utilisés. Choisir des solutions sobres ou mesurer l'empreinte de ses usages IA devient un critère de conformité à moyen terme, pas seulement un argument RSE.

Next - Flux Complet / 4 min

DeepSeek reasonix, DeepSeek native coding agent with high caching and low cost ↗ DeepSeek lance Reasonix, un agent de codage natif intégrant le modèle R1 avec un mécanisme de cache étendu qui réduit significativement les coûts d'inférence sur les tâches répétitives. Pour les équipes tech de banques et PME, cela se traduit par des économies concrètes sur l'automatisation de scripts de conformité, de traitement de données ou d'intégration d'API sans dépendre d'Azure OpenAI ou d'Anthropic. Le modèle reste open-weight, ce qui permet un déploiement on-premise compatible avec les exigences RGPD et les politiques de souveraineté des données financières. À surveiller pour les DSI cherchant à réduire leur facture IA tout en gardant le contrôle sur les flux de données sensibles.

Hacker News / 4 min

Constraint Decay: The Fragility of LLM Agents in Back End Code Generation ↗ Les agents LLM chargés de générer du code back-end tendent à « oublier » les contraintes initiales au fil des échanges, produisant un code qui dévie progressivement des règles de sécurité, de conformité ou d'architecture fixées en début de session — phénomène appelé 'constraint decay'. Pour les équipes bancaires et financières, cela signifie qu'un agent IA peut générer du code apparemment fonctionnel mais non conforme RGPD ou aux exigences réglementaires sans aucun avertissement explicite. La supervision humaine systématique et la réinjection explicite des contraintes à chaque étape critique restent indispensables, en particulier sur des workflows longue durée. Aucune solution d'IA générative ne peut aujourd'hui garantir seule la persistance des règles métier ou réglementaires dans un pipeline de génération de code.

Hacker News / 6 min

Hackers are learning to exploit chatbot ‘personalities’ ↗ Les techniques de contournement des garde-fous des chatbots IA ont considérablement évolué : les attaquants exploitent désormais les 'personnalités' configurées des modèles pour les amener à produire des contenus ou actions non autorisés, une menace directement pertinente pour les banques et PME qui déploient des assistants IA en production. Ces attaques dites de 'jailbreak' ciblent notamment les systèmes multi-agents et les LLM intégrés à des workflows métier, où une manipulation réussie peut entraîner des fuites de données ou des actions non conformes au RGPD. Pour les responsables conformité et DSI, cela impose de traiter la sécurité des prompts système comme un vecteur d'attaque à part entière, au même titre que les failles applicatives classiques.

The Verge / 5 min

OpenAI named a Leader in enterprise coding agents by Gartner ↗ Gartner positionne OpenAI comme leader dans son Magic Quadrant 2026 des agents de codage IA en entreprise, distinguant notamment Codex pour ses capacités de déploiement à grande échelle. Cette reconnaissance indépendante constitue un signal utile pour les DSI et responsables IT de banques et PME qui évaluent des outils d'automatisation du développement logiciel. Concrètement, les agents de codage permettent d'accélérer la production de scripts, d'automatiser des tâches répétitives et de réduire les coûts de développement interne, y compris pour des équipes techniques réduites. La classification Gartner facilite également les processus d'approbation fournisseur dans les environnements réglementés, où une validation tierce est souvent requise.

OpenAI News / 3 min

How VCs and founders use inflated ‘ARR’ to crown AI startups ↗ Certaines startups IA gonflent artificiellement leur ARR (revenu récurrent annuel) en y intégrant des métriques non conventionnelles — crédits consommés, contrats pilotes, revenus potentiels — avec la complicité tacite de leurs investisseurs. Cette pratique fausse les comparaisons de valorisation et peut induire en erreur les directions financières et les acheteurs lors d'évaluations de partenariats ou d'acquisitions. Pour les décideurs banque/finance et PME qui négocient ou évaluent des solutions IA, cela impose de systématiquement demander la définition exacte de l'ARR présenté et d'exiger des états financiers audités plutôt que des métriques auto-déclarées.

AI News & Artificial Intelligence | TechCrunch / 6 min