Discussion :

[Stéphane le calme]

France Travail (ex Pôle emploi) victime d'une cyberattaque. 43 millions de personnes sont potentiellement concernées.
Leurs noms, numéros de sécurité sociale, numéros de téléphones et autres données personnelles peuvent avoir été dérobés

Dans un tournant alarmant pour la cybersécurité nationale, France Travail (anciennement Pôle emploi jusqu'au 31 décembre 2023), l’organisme gouvernemental français en charge de l’emploi, a subi une cyberattaque massive. Les détails de l’incident révèlent que les systèmes de sécurité ont été violés, exposant potentiellement les données personnelles de près de 43 millions d’individus. L’attaque a eu lieu « entre le 6 février et le 5 mars » et a été détectée « cette semaine » par France Travail.

Les cybercriminels ont réussi à pénétrer les défenses numériques de France Travail, accédant à des informations sensibles qui pourraient inclure des noms, des adresses, des numéros de sécurité sociale, et d’autres données personnelles. Cette attaque soulève des inquiétudes majeures quant à la protection des informations des citoyens et la robustesse des infrastructures informatiques nationales.

Compte tenu des investigations techniques menées, les données personnelles d’identification exposées sont les suivantes : nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone. Les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il n’existe donc aucun risque sur l’indemnisation.

La base de données qui aurait été extraite de façon illicite contient les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr. C’est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées.

L’opération a débuté par une « usurpation d’identité de conseillers Cap emploi » (organisme en charge de la recherche d’emploi des personnes handicapées), a expliqué l’opérateur, à la suite de quoi France Travail a « remarqué des requêtes suspectes ».

Les autorités ont immédiatement lancé une enquête pour évaluer l’étendue des dégâts et identifier les auteurs de l’attaque. France Travail a également mis en place des mesures d’urgence pour sécuriser ses réseaux et prévenir de futures intrusions. Les personnes affectées sont conseillées de surveiller leurs comptes et de rester vigilantes face à d’éventuelles fraudes ou usurpations d’identité.

Une attaque qui a eu lieu entre le 6 février et le 5 mars

Cybermalveillance.gouv, la plateforme de prévention et d’assistance aux victimes a réagi dans la foulée, en rappelant les principales menaces après une exposition de données personnelles :

Comme le prévoit notamment le règlement général sur la protection des données (RGPD), France Travail informera individuellement l’ensemble des personnes concernées par cette violation de données personnelles. France Travail a également déposé plainte et signalé l’incident à la CNIL.

Cette violation est susceptible de concerner notamment vos données d’identité (nom, prénom, date et lieu de naissance), votre numéro de sécurité sociale (NIR), votre identifiant France Travail, vos adresses mail et postales et votre numéro de téléphone. Les mots de passe et vos coordonnées bancaires ne sont pas en revanche pas concernés.

Les conséquences potentielles de cette affaire concernent les différentes formes d’hameçonnage (phishing), de tentatives d’escroqueries ou d’usurpation d’identité dont pourraient être victime les personnes concernées par cet incident. Cybermalveillance.gouv.fr recommande d’être particulièrement vigilant face à tout appel téléphonique ou message (mail, SMS) qui pourrait utiliser vos données personnelles compromises dans le but de vous rendre crédible une tentative d’escroquerie ou d’hameçonnage ciblée. Pour plus d’information, vous pouvez également consulter notre article dédié sur les violations ou fuites de données personnelles.

Selon le service d'assistance aux victimes de cybermalveillances, l'attaque a eu lieu entre le 06 février et le 05 mars : « France Travail (anciennement Pôle emploi) a été victime d’une attaque informatique entre le 06 février et le 05 mars 2024 qui a conduit à l’exfiltration de données personnelles ».

Que pouvez-vous faire si vous êtes concerné(e) par cette violation de données ?

Si vous êtes une personne concernée, la CNIL vous conseille :

• d’être particulièrement vigilant par rapport aux messages (SMS, mails) que vous pourriez recevoir, notamment s’ils vous invitent à effectuer une action en urgence, telle qu’un paiement ;
• ne communiquez jamais vos mots de passes ou coordonnées bancaires par messagerie ;
• si vous avez un doute, n’ouvrez pas les pièces jointes ; ne cliquez pas sur les liens contenus dans des messages qui vous invitent à vous connecter à un espace personnel ; accédez plutôt au site officiel correspondant directement via votre navigateur habituel ;
• vérifiez périodiquement les activités et mouvements sur vos différents comptes ;
• rendez-vous sur le site cybermalveillance.gouv.fr pour obtenir des conseils pour vous prémunir d'actions visant à usurper votre identité - le parquet de Paris a déjà ouvert une enquête, les personnes souhaitant faire un dépôt de plainte sont invitées à le faire par l'intermédiaire de cybermalveillance ;
• assurez-vous que vous utilisez, pour votre messagerie, vos comptes bancaires et autres services importants (impôts, sites de commerce en ligne, etc.), des mots de passes suffisamment robustes

Bien que, selon les informations dont la CNIL a actuellement connaissance, la fuite de donnée ne concernerait ni les mots de passe, ni des coordonnées bancaires, il est possible que les données ayant fait l’objet de la violation soient couplées, par des acteurs malveillants, à d’autres informations provenant de fuites de données antérieures. La vigilance est donc de mise, dans les prochains jours, mais aussi et surtout à plus long terme.

Devant l’ampleur de la violation, la présidente de la CNIL a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du Règlement général sur la protection des données (RGPD).

Les actions entreprises par France Travail

Face à cet acte de cybermalveillance, nous recommandons aux personnes la plus grande vigilance quant aux risques d'hameçonnage (mails ou appels frauduleux) ou de tentatives d'usurpation d'identité. Nous leur rappelons de ne jamais communiquer leur mot de passe ou leurs coordonnées bancaires par téléphone ou par mail: France Travail comme les autres organismes publics ne le demandent jamais.

Une enquête préliminaire a été ouverte par le Parquet de Paris et confiée à la Brigade de Lutte Contre la Cybercriminalité de la Direction de la Police Judiciaire de Paris qui a mis en place un système de plainte simplifiée pour les personnes concernées accessible à l’adresse suivante : https://www.cybermalveillance.gouv.f...plainte-202403.

Conscients des conséquences que cela peut engendrer, nous informerons via leur espace personnel ou par mail l’ensemble des personnes identifiées auxquelles nous présentons bien évidemment nos excuses. Un dispositif d’information dédié sera également disponible dans les prochaines heures via la plateforme téléphonique 39 49 afin d’accompagner tous ceux qui en auraient besoin.

La sécurité des données confiées par les demandeurs d’emploi et les entreprises est une préoccupation constante pour nous. Face à la menace de cyber attaques qui pèse de plus en plus sur les entreprises et organisations au niveau national comme européen, nous nous devons de renforcer en continu nos dispositifs de protection, procédures et consignes. Aussi, dès la connaissance avérée de cette intrusion, nous avons pris des mesures complémentaires avec le réseau Cap emploi pour renforcer nos dispositifs de protection des accès à nos applicatifs par nos partenaires.

Conclusion

Cet incident met en lumière la nécessité d’une cybersécurité renforcée et d’une vigilance constante face aux menaces numériques. Il est impératif que les institutions publiques et privées investissent davantage dans la protection des données pour défendre la vie privée des individus et l’intégrité des systèmes d’information. La cyberattaque contre France Travail est un rappel sévère que personne n’est à l’abri des menaces numériques. Alors que le monde devient de plus en plus connecté, la sécurité des données doit rester une priorité absolue pour tous les acteurs de la société.

Sources : France Travail, CNIL, service d'assistance aux victimes de cybermalveillance

Et vous ?

Quelles mesures préventives pensez-vous que France Travail aurait dû mettre en place pour éviter une telle cyberattaque ?
Comment les institutions peuvent-elles renforcer leur cybersécurité face à l’augmentation des cyberattaques ?
Quel rôle le gouvernement devrait-il jouer pour protéger les données personnelles des citoyens ?
En tant qu’individu, quelles actions allez-vous entreprendre pour sécuriser vos données personnelles en ligne ?
Pensez-vous que les entreprises et les organismes publics sont suffisamment transparents concernant les brèches de sécurité ? Pourquoi ou pourquoi pas ?
Quelles devraient être les conséquences pour les auteurs de cyberattaques d’une telle ampleur ?
Comment cette cyberattaque a-t-elle changé votre perception de la sécurité de vos informations personnelles ?

[Jules34]

"On s'est fait pirater entre le 6 février et le 5 mars"

Quel aveu d'impuissance... Sur une période près d'un mois les mecs ont rien remarqué ? Je m'en vanterais pas, je me serais arrêter à un simple "on s'est fait pirater".

Ce serait bien que l'état se rende compte que la sous traitance et les deal avec les américains pour les infrastructures "sensibles", c'est pas bon. Les comptes sont pas bon, l'état balance des millions/milliards a des presta qui savent pas quand ils se sont fait pwned sur un mois...

[nikau6]

43 millions !? C'est l'ensemble des comptes. non ? Tout les comptes ont été piraté !?

[Invité]

Il s'agit surtout d'un irrespect total du RGPD avec des comptes conservés pendant 20 ans.

[Pierre Louis Chevalier]

43 millions !? C'est l'ensemble des comptes. non ? Tout les comptes ont été piraté !?

Oui, et ils se sont rendu compte de rien pendant des semaines. C'est que le début, d'après mes infos il va continuer à y avoir des piratages massifs, dans les administrations et les sociétés privées, car les cyber défenses ne sont pas prêtes, c'est du grand n'importe quoi quasiment partout, et quand c'est pas le système qui est de base une passoire, c'est un employé irresponsable et incompétent qui va faire une "bourde", la célèbre "erreur humaine" et laisser rentrer le loup dans la bergerie. Résultat : les responsables cybersécurité n'ont qu'une envie : démissionner et oublier ce cauchemar

[nikau6]

Oui, et ils se sont rendu compte de rien pendant des semaines. C'est que le début, d'après mes infos il va continuer à y avoir des piratages massifs, dans les administrations et les sociétés privées, car les cyber défenses ne sont pas prêtes

On sait bien que dans administration les personnes sont rarement choisies en fonction de leurs compétences réelles. C'est copinage et compagnie.
Le prix des sites web m'a également toujours étonné. Quand l'état passe commande les prix sont toujours 3-4 fois supérieurs à la normal, et en plus ce sont des nazes ?

[Mat.M]

Le prix des sites web m'a également toujours étonné. Quand l'état passe commande les prix sont toujours 3-4 fois supérieurs à la normal, et en plus ce sont des nazes ?

jusqu'au jour où la puissance publique est contrainte de faire des économies bref décide de réduire les contrats publics.
C'est une chose qui n'est certainement pas étrangère aux déboires d'At*s grosse ESN qui a certainement profité des contrats publics..
mais ne nous égarons pas c'est un autre sujet

[smarties]

Pole Emploi/France Travail est géré par Capgemini d'après ce que j'ai pu avoir comme information via de la prospection d'embauche.

Atos fait aussi des choses bizarre : elle faisait appel a des chasseurs de tête basés au Royaume Uni pour un poste en France chez la CNAV qui gère le système des retraites.

Pour le piratage de France Travail, on devrait écouter les gens techniques et non des corrompus politiques, ça limiterait le risque. Ensuite, garder la souveraineté des données (je crois qu'ils ont tout sur GitHub). Enfin arrêter le cloud pour tout et n'importe quoi.

[sevyc64]

Quel aveu d'impuissance... Sur une période près d'un mois les mecs ont rien remarqué ? Je m'en vanterais pas, je me serais arrêter à un simple "on s'est fait pirater"

L'attaque a eu lieu entre le 6 février et le 5 mars, mais il n'est nulle part dit qu'elle avait durer 1 mois. Elle a très certainement tout au plus durer que quelques 10ènes de minutes, le temps de trouver quelque chose d’intéressant et de le télécharger.
Il est de règle, dans ce genre de situation aussi de ne jamais donner de détails trop précis. Il ne faut oublier qu'il y a désormais plusieurs enquêtes judiciaires en cours.

43 millions !? C'est l'ensemble des comptes. non ? Tout les comptes ont été piraté !?

Peut-être pas tous les comptes, mais tous ceux qui ont été inscrits à Pole-emploi comme demandeur d'emploi durant ces 20 dernières années + tous ceux qui, même sans être officiellement demandeur d'emploi, avaient un compte juste pour avoir accès aux annonces.
Fait le compte !

C'est que le début, d'après mes infos il va continuer à y avoir des piratages massifs

Oui ce n'est que le début et il y en a pour plusieurs décennies. Et ça ne fera que s'empirer. On sera tous, un jour, concerné, et certainement même chacun plusieurs fois par an. La numérisation de la vie quotidienne va continuer toujours en s'amplifiant, ça fait et fera autant de sources de données intéressantes pour les malveillants.
Et inutile de se glosser que c'est l'administration française, pas compétente, etc. Aucun organisme ou entreprise n'est à l’abri. Même les Apple, Microsoft, Amazon et autre Google y passeront un jour (et y sont très certainement déjà passé sans que ça se sache).

De plus, il ne faut pas oublier qu'il y a en ce moment, et depuis quelques années, une guerre en Europe. Elle se déroule sur le terrain avec des bombes et des soldats, mais elle se déroule aussi dans le monde cyber avec des virus, des piratages massifs, attaques DDOS et autre.
Et il ne faut pas oublier non plus qu'il y a des élections qui arrivent, en Europe au début de l'été, depuis le début de l'année avec le point d'orgue à l'automne aux USA. Certaines pseudo-démocraties comptent bien exercer l'influence qu'elles prétendent vouloir avoir.

[smarties]

Je viens de tomber sur cette annonce : https://www.lehibou.com/annonce/95db...d-4fb87427fe89
Secteur énergie/nucléaire et AWS... qui prend de telles décisions ?

Il y a OVH, Infomaniak et d'autres qui permettraient d'avoir de la souveraineté !

[SQLpro]

Il s'agit surtout d'un irrespect total du RGPD avec des comptes conservés pendant 20 ans.

C'est une obligation légale. En effet, les périodes de chômage compte pour la retraite et donc il faut conserver une partie de ces informations pour pouvoir remonter à la source du paiement des charges. Comme on peut commencer à travailler à 16 ans et que l'on peut prendre sa retraite tardivement, il faut donc conserver cela près de 100 ans... !

A +

[nikau6]

Je viens de tomber sur cette annonce : https://www.lehibou.com/annonce/95db...d-4fb87427fe89
Secteur énergie/nucléaire et AWS... qui prend de telles décisions ?

Il y a OVH, Infomaniak et d'autres qui permettraient d'avoir de la souveraineté !

L'Union Européenne oblige l'État, et les entreprises dont il est actionnaire, et les sous-traitants qu'il emploi, à élargir leus appels d'offres au monde entier ( même pas simplement aux pays de l'UE ) et interdit aux États de favoriser les entreprises nationales.
Et mise à part les pays de l'UE, aucun pays au monde n'est soumit à de telles règles.

[nikau6]

C'est une obligation légale. En effet, les périodes de chômage compte pour la retraite et donc il faut conserver une partie de ces informations pour pouvoir remonter à la source du paiement des charges. Comme on peut commencer à travailler à 16 ans et que l'on peut prendre sa retraite tardivement, il faut donc conserver cela près de 100 ans... !

A +

Mais est-ce que ces données doivent être conservées sur des serveurs accessibles depuis l’extérieur,
Sachant qu'elles serviront surtout à des traitements en interne ?

[totozor]

Il y a OVH, Infomaniak et d'autres qui permettraient d'avoir de la souveraineté !

Pour rappel Cédric O (si mes souvenirs sont bons), ex ministre du digital (ou un truc du genre) avait lancer un gros projet de souveraineté digitale qui avait menée à choisir AWS comme cloud souverain

[sevyc64]

Mais est-ce que ces données doivent être conservées sur des serveurs accessibles depuis l’extérieur,
Sachant qu'elles serviront surtout à des traitements en interne ?

Oui, au moins tant qu'une personne n'a soldée sa retraite, elle doit pouvoir se connecter à son compte et ses données. Donc sur une durée de 50 ans minimum, les données doivent être accessibles à l'utilisateur, et donc sur les serveurs de prod.

[Fagus]

Faudra que je dise à la marie de ma ville d'arrêter de générer les codes des administrés sous forme "date de naissance+1ère lettres nom prénom" parce que ce n'est plus sécurisé

L’opération a débuté par une « usurpation d’identité de conseillers Cap emploi » (organisme en charge de la recherche d’emploi des personnes handicapées), a expliqué l’opérateur, à la suite de quoi France Travail a « remarqué des requêtes suspectes ».

Ils ont découvert dans un log qui prenait trop de place qu'un conseiller Cap emploi avait consulté 43 millions de compte ?

On sait bien que dans administration les personnes sont rarement choisies en fonction de leurs compétences réelles. C'est copinage et compagnie.
Le prix des sites web m'a également toujours étonné. Quand l'état passe commande les prix sont toujours 3-4 fois supérieurs à la normal, et en plus ce sont des nazes ?

Rhoo, pas que le copinage. Quand tu as des gens titulaires et que tu peux pas les licencier, faut bien les recaser sur un poste (ex, cuisine -> service informatique, ceci est un exemple réel).

3-4x le prix du marché pour une commande publique, c'est pas mal. Ici c'est plus 5x (parfois 10 sur les petits objets). Merci aux happy tax-payers.

[Pyramidev]

Aujourd'hui, Aldo Sterone a publié une vidéo d'un quart d'heure dans laquelle il a détaillé pourquoi, en règle générale, les pirates ont de l'avance sur les administrations et les entreprises :

[Invité]

Trois interpellations en France pour "accès et maintien frauduleux dans un système de traitement automatisé de données, extraction de ces données, escroquerie et blanchiment, le tout en bande organisée".

[Stéphane le calme]

France Travail (ex-Pôle emploi) sanctionnée d'une amende de 5 millions d’euros pour manquements graves à la protection des données personnelles :
la CNIL met fin à l’illusion d’un RGPD à deux vitesses pour le secteur public

La Commission nationale de l’informatique et des libertés a frappé fort. En infligeant une amende de 5 millions d’euros à France Travail pour manquements graves à la protection des données personnelles, la CNIL envoie un signal clair à l’ensemble de l’écosystème numérique français. Au-delà du montant, cette sanction met en lumière des failles structurelles dans la gouvernance des données d’un opérateur public stratégique, et pose une question centrale pour les professionnels de l’IT : l’État est-il réellement au niveau des exigences qu’il impose aux autres ?

Au premier trimestre 2024, un ou plusieurs attaquants sont parvenus à s’introduire dans le système d’information de France Travail (anciennement Pôle emploi jusqu'au 31 décembre 2023), l’organisme gouvernemental français en charge de l’emploi.

Et France Travail de déclarer :

« Compte tenu des investigations techniques menées, les données personnelles d’identification exposées sont les suivantes : nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone. Les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il n’existe donc aucun risque sur l’indemnisation.

« La base de données qui aurait été extraite de façon illicite contient les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr. C’est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées. »

L’opération a débuté par une « usurpation d’identité de conseillers Cap emploi » (organisme en charge de la recherche d’emploi des personnes handicapées), a expliqué l’opérateur, à la suite de quoi France Travail a « remarqué des requêtes suspectes ».

Les autorités ont immédiatement lancé une enquête pour évaluer l’étendue des dégâts et identifier les auteurs de l’attaque. France Travail a également mis en place des mesures d’urgence pour sécuriser ses réseaux et prévenir de futures intrusions. Les personnes affectées sont conseillées de surveiller leurs comptes et de rester vigilantes face à d’éventuelles fraudes ou usurpations d’identité.

Une sanction lourde prononcée par la CNIL

Le contrôle réalisé par la CNIL a révélé l’insuffisance des mesures techniques et organisationnelles mises en œuvre afin d’assurer la sécurité des données personnelles traitées. En conséquence, la formation restreinte (organe de la CNIL chargé de prononcer les sanctions) a prononcé une amende de 5 millions d’euros à l’encontre de France Travail, tenant compte de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées.

En outre, la formation restreinte a enjoint à France Travail de justifier des mesures correctrices apportées, selon un calendrier de mise en œuvre précis.

À défaut, l’organisme devra payer une astreinte de 5 000 euros par jour de retard.

La décision rendue publique par la CNIL s’inscrit dans le cadre strict du RGPD, mais elle dépasse largement le simple rappel à l’ordre réglementaire. L’autorité reproche à France Travail des manquements persistants aux obligations de sécurité, notamment l’absence de mesures techniques et organisationnelles suffisantes pour protéger des données personnelles sensibles. Il ne s’agit pas d’une erreur ponctuelle ou d’un incident isolé, mais d’un ensemble de défaillances révélant une approche insuffisamment structurée de la cybersécurité.

En effet, la formation restreinte a relevé que France Travail n’a pas mis en place les mesures techniques et organisationnelles qui auraient pu rendre l’attaque plus difficile. Pour rappel, la mise en œuvre de mesures de sécurité adaptées aux risques est une obligation de moyens prévue par l’article 32 du RGPD. Elle a notamment relevé que les modalités d’authentification permettant aux conseillers CAP EMPLOI d’accéder au système d’information de FRANCE TRAVAIL n’étaient pas suffisamment robustes.

De plus, la formation restreinte a souligné l’insuffisance de mesures de journalisation permettant de détecter les comportements anormaux sur son système d’information. Enfin, la formation restreinte a relevé que les habilitations d’accès des comptes des conseillers CAP EMPLOI avaient été définies de manière trop large, permettant aux conseillers CAP EMPLOI d’accéder aux données de personnes qu’ils n’accompagnaient pas, ce qui a accru le volume de données accessibles par les attaquants.

Pour déterminer la sanction, la formation restreinte a tenu compte du fait que la plupart des mesures de sécurité adéquates avaient été identifiées par France Travail, en amont de la mise en œuvre du traitement, dans les analyses d’impact, sans pour autant avoir été effectivement mises en œuvre.

Pour les professionnels de l’informatique, cette sanction illustre une évolution nette de la doctrine de la CNIL. L’époque où les organismes publics bénéficiaient d’une forme de tolérance implicite semble révolue. Désormais, la conformité RGPD s’apprécie à l’aune des risques réels, du volume de données traitées et de la capacité de l’organisation à anticiper les menaces.

France Travail, un acteur critique au cœur de flux de données massifs

France Travail gère des millions de dossiers de demandeurs d’emploi, d’entreprises et de partenaires institutionnels. Ces données couvrent des informations d’identité, de situation professionnelle, parfois financière ou sociale, ce qui en fait une cible de choix pour la cybercriminalité. Dans ce contexte, l’exigence de sécurité ne peut être minimale ni purement déclarative.

La CNIL pointe notamment des insuffisances dans la gestion des accès, le cloisonnement des systèmes et la surveillance des usages. Pour un acteur de cette taille, ces lacunes traduisent moins un manque de moyens qu’un déficit de gouvernance IT et de pilotage de la sécurité dans la durée.

Une lecture très opérationnelle du RGPD

Ce qui frappe dans cette affaire, c’est la manière dont la CNIL interprète concrètement les obligations du RGPD. La notion de « sécurité appropriée » n’est pas abstraite. Elle suppose des audits réguliers, des politiques d’accès rigoureuses, une traçabilité effective et une capacité démontrée à détecter et contenir les incidents.

Pour les DSI et RSSI, le message est limpide : documenter ne suffit plus. Les autorités attendent des preuves opérationnelles, mesurables, et une amélioration continue des dispositifs. L’argument du contexte public ou de la complexité organisationnelle n’est plus recevable lorsqu’il s’agit de données personnelles à grande échelle.

Un signal fort pour tout le secteur public… et au-delà

Cette amende de 5 millions d’euros marque un tournant symbolique. Elle rappelle que les organismes publics sont soumis aux mêmes exigences que les entreprises privées, y compris les plus grandes. Pour les prestataires IT, les intégrateurs et les éditeurs travaillant avec l’administration, cette décision implique également une responsabilité accrue. La sécurité des données devient un critère contractuel central, susceptible d’engager la responsabilité de toute la chaîne.

Dans un contexte de numérisation accélérée des services publics, la sanction infligée à France Travail agit comme un révélateur. Elle montre que la transformation numérique sans investissement massif et continu dans la cybersécurité expose à des risques juridiques, financiers et réputationnels désormais très concrets.

Au fond, cette décision soulève une question plus large pour les professionnels de l’IT : l’État français a-t-il réellement intégré la cybersécurité comme une fonction stratégique, au même titre que l’infrastructure ou les applicatifs ? La réponse, à la lecture de cette sanction, reste ambivalente.

La CNIL ne se contente plus d’un rôle pédagogique. Elle assume pleinement une posture de régulateur exigeant, capable de sanctionner lourdement des acteurs publics majeurs. Pour l’écosystème numérique, c’est un changement de paradigme. La conformité RGPD n’est plus une contrainte administrative, mais un indicateur de maturité technologique et organisationnelle.

En ce sens, l’affaire France Travail dépasse largement le cadre d’une simple violation de données. Elle constitue un avertissement clair pour toutes les organisations, publiques comme privées : la sécurité des données personnelles n’est plus négociable, et l’approximation se paie désormais au prix fort.

La fragilité chronique des systèmes publics

Cette affaire s’inscrit dans une série d’incidents qui touchent régulièrement des administrations, des hôpitaux ou des collectivités. La transformation numérique de l’État avance vite sur le papier, mais beaucoup plus lentement sur le terrain de la cybersécurité. Infrastructures vieillissantes, empilement de prestataires, contraintes budgétaires, pénurie de talents cyber : le cocktail est bien connu des responsables IT du secteur public.

À cela s’ajoute une pression opérationnelle forte. France Travail doit assurer la continuité du service pour des millions d’usagers, souvent dans des situations sociales fragiles. La sécurité devient alors une variable d’ajustement, reléguée derrière l’urgence fonctionnelle, jusqu’au jour où l’incident survient.

Des conséquences bien réelles pour les usagers

Pour les personnes concernées, la fuite ne se traduit pas immédiatement par un préjudice visible. C’est précisément ce qui rend ce type d’incident dangereux. Les données peuvent circuler pendant des mois, être revendues, recoupées avec d’autres bases compromises, puis exploitées bien plus tard. Les campagnes d’escroquerie ciblant les demandeurs d’emploi, déjà fréquentes, trouvent ici un terrain idéal.

Au-delà du risque individuel, c’est la relation de confiance entre les citoyens et les services publics numériques qui s’érode. Lorsqu’un organisme censé accompagner, protéger et soutenir devient involontairement une source de vulnérabilité, la crédibilité de l’ensemble de l’écosystème numérique public est atteinte.

Source : CNIL

Et vous ?

Quelle analyse faites-vous de la sanction de la CNIL ?

L’amende infligée à France Travail doit-elle être interprétée comme un simple rappel à l’ordre ou comme l’aveu d’un échec structurel de la cybersécurité dans le secteur public français ?

Peut-on encore parler de transformation numérique réussie quand la protection des données personnelles reste traitée comme un sujet secondaire, y compris dans des organismes d’État critiques ?

La CNIL est-elle en train de durcir volontairement sa doctrine pour faire de France Travail un cas d’école destiné à l’ensemble des administrations ?

Les directions informatiques des grands opérateurs publics disposent-elles réellement des moyens, de l’autonomie et du poids politique nécessaires pour imposer des choix de sécurité parfois contraignants ?

Cette sanction marque-t-elle la fin de l’idée selon laquelle le secteur public bénéficierait d’une forme de tolérance implicite face aux exigences du RGPD ?

[Fagus]

l’État français a-t-il réellement intégré la cybersécurité comme une fonction stratégique,

Avant non, et maintenant ce serait beaucoup dire que quelqu'un ait une vision. Déjà, on a un président qui comme vision a eu "je ferai un référendum en 2025", donc déjà voir à plus de quelques semaines c'est compliqué... et comme rien n'est anticipé, tous les sujets sont "traités" en mode "extinction de crise" (et ça se finit souvent en bâtons + subventions).

On a l'ANSSI, pourquoi l'OS sécurisé CLIP OS a-t-il été abandonné ? Peut-on raisonnablement laisser chaque chapelle administrative ré-inventer (ou pas) la sécurité à son échelle, versus développer des standards puis des solutions nationales avec des économies d'échelles ?

Il y a 15 ans, je connais des administrations publiques, où, si quelqu'un voulait brancher un appareil non-autorisé, c'était fastoche. La sécurité c'était seulement filtrage IP + MAC, ou IP + nom machine (wouhou!). Ben spoof et voilà ...
Si il fallait communiquer avec l'extérieur, ben tunnel et voilà. Si il fallait juste une machine admin sans rien brancher, et avoir un accès distant, ben il fallait juste trouver un "équipement d'un fournisseur extérieur" branché, récupérer son mot de passe admin de 6 caractères, constater dépité que le-dit fournisseur utilise le même sur toute la France sur tout son parc en accès distant...

(D'ailleurs, la rumeur dit que sur un centre important, c'est une de ces machines d'un fournisseur extérieur qui a permis d'injecter sur l'intranet, le cryptolocker qui a chiffré tous les serveurs pas à jour depuis des années...)

Aujourd'hui ça n'a gère changé...

Les gens de France Travail ont expliqué piteusement aux médias que les comptes compromis avaient accès sans raison à tous les dossiers de France et qu'il n'y avait pas de limite à la quantité de dossier qu'un compte pouvait consulter. Ils expliquaient cette semaine que malgré leur piratage ils n'avaient toujours pas de double authentification, sans compter la sécurisation des données accessibles par les prestataires externes...

Bien entendu, les gens utilisent tous weetransfer, chatGPT, et la politique avec les données confidentielles, c'est "on fait confiance".

Perso j'utilise une simple yubikey en double auth, et du chiffrage, j'ai du mal à comprendre qu'on puisse raisonnablement dans l'administration publique n'avoir rien de mieux qu'une politique de changement réguliers de mots de passe (sachant que 10% des gens filent leurs identifiants en hameçonnage).