Cyberattaques et fuites de données de l’État français : La France traverse une crise cyber sans précédent. En 2024-2025, le pays s’est hissé au rang de premier pays européen et deuxième mondial (derrière les États-Unis) en nombre de comptes compromis, avec 1,8 million de comptes piratés entre janvier et juin 2025 selon Cybernews. Selon les données ouvertes de la CNIL (extraction du 30 septembre 2025), le nombre de notifications de violations de données reçues par l’autorité est passé de 4 669 en 2023 à 5 630 en 2024 (+20,6 %), puis atteint 6 929 sur les neuf premiers mois de 2025, dépassant dès septembre le total de l’année 2024 entière. Précision essentielle : ces chiffres comptabilisent les notifications, pas les violations distinctes. Un même incident peut générer des centaines de notifications en cascade lorsque de multiples responsables de traitement sont impactés. Le nombre de violations touchant plus d’un million de personnes a néanmoins doublé en un an selon le rapport annuel CNIL 2024.
L’État français et ses administrations sont particulièrement touchés. De France Travail (43 millions de personnes concernées) au fichier FICOBA de Bercy (1,2 million de comptes bancaires exposés le 19 février 2026), en passant par le ministère de l’Intérieur, la DINUM, l’OFII ou les centaines de mairies victimes, les services publics constituent un terreau fertile pour les attaquants. L’analyse comparative avec les autres pays révèle des vulnérabilités structurelles spécifiquement françaises qui dépassent la seule question budgétaire. Plus révélateur encore : la CNIL a publié un projet de référentiel de certification des sous-traitants dont les critères techniques, s’ils avaient été exigés par les responsables de traitement, auraient empêché ou considérablement limité la quasi-totalité des violations majeures recensées dans cette étude.
« 80 % des grandes violations de données en 2024 auraient pu être évitées » avec la mise en place d’une double authentification. – Marie-Laure Denis, présidente de la CNIL
PANORAMA DES CYBERATTAQUES CONTRE L’ÉTAT FRANÇAIS
L’ampleur du phénomène en chiffres
L’année 2024 a marqué un tournant. L’ANSSI a traité 4 386 événements de sécurité, en hausse de 15 % par rapport à 2023, dont 1 361 incidents confirmés. Sur le plan national, le ministère de l’Intérieur a comptabilisé plus de 17 500 cyberattaques en 2025 (atteintes aux STAD), en progression de 4 %. Le volume total d’atteintes numériques (incluant escroqueries en ligne) a atteint 450 000 crimes et délits, soit +14 % sur un an.
Les données ouvertes de la CNIL confirment l’accélération : 4 669 notifications en 2023, 5 630 en 2024, et 6 929 sur les neuf premiers mois de 2025. Mars 2025 constitue un pic exceptionnel avec 2 855 notifications en un seul mois, reflétant l’effet cascade des grandes violations : chaque organisme impacté en aval notifie séparément, ce qui gonfle mécaniquement le compteur sans que cela corresponde à autant d’incidents distincts. Sur la période 2025, l’administration publique représente 692 notifications (10 %), derrière le secteur financier (1 957, soit 28 %) et les activités spécialisées (1 363, soit 20 %). Le piratage, les rançongiciels et l’hameçonnage constituent l’origine de 63 % des notifications, et les actes externes malveillants en représentent 64 %.
Chronologie des fuites majeures de l’État et services publics
| Date | Entité | Personnes touchées | Vecteur d’attaque |
| Mars 2024 | France Travail | 43 millions | Comptes partenaires compromis, absence de MFA |
| Fév. 2024 | Viamedis / Almerys | 33 millions | Phishing sur employés, accès aux données de santé |
| Déc. 2025 | OFII | Non communiqué | Cyberattaque sur les systèmes de l’Office français de l’immigration |
| Juil. 2025 | France Travail (Kairos) | 340 000 | Attaque via prestataire tiers Kairos |
| Déc. 2025 | Ministère Intérieur | Agents exposés | Fuite via prestataire tiers |
| Déc. 2025 | Ministère des Sports | Millions licenciés | Plateforme tierce de gestion de licences |
| Déc. 2025 | France Travail (Missions Locales) | 1,6 million | Compromission du réseau Missions Locales |
| Janv. 2026 | DINUM (HubEE) | Non communiqué | Attaque sur plateforme d’échange de pièces justificatives |
| Janv. 2026 | FICOBA / DGFiP | 1,2 million | Usurpation identifiants d’un fonctionnaire, absence de MFA |
| 2024-2025 | Mairies (Synbird + dizaines) | 1 300+ communes | Compromission prestataire de rendez-vous, DDoS |
Les vecteurs d’attaque : un schéma récurrent
L’analyse des incidents révèle trois vecteurs dominants qui se retrouvent systématiquement dans les fuites touchant l’État français :
- La compromission d’identifiants de prestataires ou partenaires tiers : c’est le vecteur le plus fréquent et le plus dévastateur. France Travail, le ministère de l’Intérieur, le ministère des Sports, FICOBA : dans chaque cas, l’attaquant n’a pas eu besoin de forcer une porte blindée. Il est entré par la fenêtre du voisin. Comme le résume un expert cité par Invictis : « Votre sécurité s’aligne désormais strictement sur celle de votre partenaire le moins vigilant. »
- L’absence généralisée d’authentification multifacteur (MFA) : la présidente de la CNIL a confirmé que la quasi-totalité des grandes violations de 2024 auraient été prévenues par ce dispositif basique. Le cas FICOBA est emblématique : un seul identifiant de fonctionnaire compromis a suffi à accéder à 1,2 million de comptes bancaires, sans qu’aucune vérification supplémentaire ne soit exigée.
- L’absence de détection des comportements anormaux : la CNIL a sanctionné France Travail (5 millions d’euros d’amende) pour « ignorance de principes de sécurité essentiels », pointant notamment l’insuffisance des mécanismes de journalisation et de détection des extractions massives de données. Un attaquant a pu interroger la base FICOBA pendant plusieurs jours sans déclencher d’alerte.
COMPARAISON INTERNATIONALE
Positionnement de la France
Le positionnement de la France dans les classements internationaux de fuites de données est particulièrement préoccupant :
| Indicateur | France | Comparaison |
| Rang mondial fuites | N°2 mondial, N°1 européen (S1 2025) | Derrière les USA uniquement |
| Comptes compromis S1 2025 | 1,8 million | USA : bien supérieur en volume absolu |
| Budget IT alloué à la cyber | 10,7 % (le plus bas des pays étudiés) | Moyenne mondiale : 12,7 %, Brésil : 15,6 % |
| Budget ANSSI | 165 M$ / an | UK (NCSC) : 350 M$, Allemagne (BSI) : 240 M$, USA (CISA) : 2 Mds$ |
| Budget cyber collectivités | 77 % dépensent < 2 000 €/an | UK : 60 % des PME citent le budget comme frein principal |
| Notifications CNIL (open data) | 4 669 (2023), 5 630 (2024), 6 929 (9 mois 2025) | Allemagne : 37 636 (2018-2020), Pays-Bas : 40 647 |
| Impact moyen par citoyen | ~10 fuites par Français (Surfshark) | 3 % des internautes FR touchés vs 0,8 % aux USA |
Ce qui différencie la France des autres pays
La centralisation des bases de données d’État
La France se distingue par l’existence de fichiers centralisés d’une ampleur exceptionnelle : FICOBA (tous les comptes bancaires ouverts en France, 300 millions d’entrées), France Travail (43 millions de profils sur 20 ans d’historique), le fichier du tiers payant (33 millions de personnes via deux opérateurs seulement). Cette hypercentralisation crée un risque systémique : une seule compromission peut exposer une fraction considérable de la population. Les pays anglo-saxons, et dans une moindre mesure l’Allemagne avec sa structure fédérale, fonctionnent davantage en silos fragmentés, ce qui limite naturellement le rayon d’explosion d’un incident.
Le modèle français de la sous-traitance publique
L’État français recourt massivement à des prestataires tiers pour la gestion de ses systèmes d’information. Or, ces prestataires deviennent systématiquement le vecteur d’entrée des attaquants. La chaîne d’approvisionnement numérique constitue ce que les experts décrivent comme « le talon d’Achille de la cybersécurité française ». Les accès interministériels, par nature difficiles à surveiller, représentent un angle mort systémique que les attaquants exploitent méthodiquement. Ce problème est aggravé par le fait que les clauses contractuelles de sécurité avec les sous-traitants sont souvent insuffisantes ou non vérifiées.
Un sous-investissement structurel sans équivalent
Le décalage budgétaire français est frappant. Avec 10,7 % de leur budget IT alloué à la sécurité informatique, les entreprises françaises sont les plus chiches des pays étudiés par le CyberEdge CDR, en dessous de la moyenne mondiale de 12,7 %. Le budget de l’ANSSI (165 millions de dollars) représente moins de la moitié de celui du NCSC britannique et à peine 8 % du budget de la CISA américaine. Pour les collectivités territoriales, 77 % des élus et agents déclarent dépenser moins de 2 000 euros par an en cybersécurité, un montant dérisoire qui ne permet même pas l’achat d’un audit de base.
Le facteur géopolitique français
La position internationale de la France la rend particulièrement vulnérable aux attaques motivées par des États. Le soutien à l’Ukraine a déclenché des vagues d’attaques de groupes hacktivistes pro-russes et pro-palestiniens. Les JO 2024 ont constitué un pic d’exposition majeur avec 141 événements de cybersécurité signalés. L’ANSSI note que 42 % des cyberattaques de 2024 ont visé l’Île-de-France, reflétant la concentration des infrastructures critiques. Cette dimension géopolitique différencie nettement la France de pays comme les Pays-Bas ou l’Allemagne, qui subissent davantage des attaques à motivation financière.
Le phénomène d’agrégation des données : une spécificité du risque français
La particularité la plus alarmante concerne le croisement des données issues de multiples fuites, publiques et privées confondues. La fuite Viamedis/Almerys fournit le numéro de Sécurité sociale, France Travail complète avec l’historique professionnel et les coordonnées, FICOBA ajoute les données bancaires complètes (IBAN, identité, adresse). Même des fuites issues du secteur privé (opérateurs télécoms, enseignes de distribution) viennent enrichir ces profils. La combinaison de ces fuites permet la constitution de « kits d’identité » numériques complets, vendus sur le dark web, transformant chaque citoyen français en « actif financier » pour les réseaux criminels. En moyenne, un Français a été victime d’environ 10 fuites de données selon Surfshark. Ce phénomène d’agrégation est spécifiquement aggravé par le caractère centralisé et interconnecté des bases françaises.
ANALYSE DES CAUSES PROFONDES
Tableau comparatif des vulnérabilités
| Vulnérabilité | France (État) | UK / USA | Allemagne |
| MFA généralisée | Absente dans la majorité des cas | Largement déployée (NCSC exige) | Obligatoire secteur public fédéral |
| Gestion accès prestataires | Angle mort systémique | Supply chain audits obligatoires (Cyber Essentials UK) | Contrôles BSI sur sous-traitants |
| Détection extractions massives | Quasi inexistante | SIEM/UEBA courants | Exigé par BSI |
| Principe du moindre privilège | Habilitations trop larges | Zero Trust adopté | En cours déploiement |
| Budget cyber / collectivités | 77 % < 2 000 €/an | UK : investissement croissant post-NHS | Lander : budgets dédiés |
| Centralisation des bases | Fichiers nationaux massifs | Systèmes plus fragmentés | Fédéralisme = données distribuées |
| Sensibilisation agents | 19 % inférieur à la moyenne | Programmes obligatoires | Formation régulière intégrée |
Les six failles structurelles françaises
- Absence de MFA comme standard minimal. La CNIL le répète : 80 % des grandes violations auraient été évitées. FICOBA, France Travail, le ministère de l’Intérieur : à chaque fois, un identifiant compromis suffit. La MFA n’est toujours pas obligatoire pour les bases de plus de 2 millions de personnes, même si la CNIL a annoncé vouloir l’imposer.
- Contrôle inexistant de la chaîne de sous-traitance. Les prestataires tiers accèdent aux données les plus sensibles de l’État sans que leur niveau de sécurité soit vérifié en continu. La CNIL a pourtant mis à disposition un référentiel de certification des sous-traitants dès décembre 2024, utilisable comme grille d’audit volontaire. Les responsables de traitement et leurs DPO ne s’en sont pas emparés. Le Royaume-Uni impose le référentiel Cyber Essentials à tout fournisseur de l’État ; la France dispose désormais d’un outil équivalent, mais personne ne l’exige.
- Habilitations trop larges et absence de principe du moindre privilège. La CNIL a sanctionné France Travail notamment pour des « accès aux données plus larges que nécessaire ». Un fonctionnaire peut interroger FICOBA dans le cadre d’échanges interministériels sans que le volume ou la fréquence de ses requêtes soient plafonnés ou analysés.
- Défaillance de la détection et de la journalisation. Dans le cas FICOBA, l’attaquant a pu interroger la base pendant plusieurs jours. France Travail a cumulé sept fuites en 2025 sans que les mécanismes de détection ne soient significativement améliorés d’une fuite à l’autre. L’absence de SIEM (Security Information and Event Management) ou d’analyse comportementale (UEBA) dans les administrations est un facteur récurrent.
- Sous-investissement chronique des collectivités. Les mairies, départements et régions sont la cible croissante des attaquants. La compromission de Synbird (prise de rendez-vous d’état civil) a impacté 1 300 communes d’un coup. Avec 77 % des collectivités dépensant moins de 2 000 euros par an, la question n’est plus de savoir si elles seront touchées, mais quand.
- Retard culturel et déficit de sensibilisation. Les études montrent que les employés français affichent un niveau de sensibilisation à la cybersécurité des emails inférieur de 5 points à la moyenne internationale. Le ministère de l’Intérieur a lui-même reconnu devant le Sénat un « manque d’hygiène informatique » après la fuite de décembre 2025.
LE PROJET DE RÉFÉRENTIEL SUR LA CERTIFICATION RGPD DES SOUS-TRAITANTS : UN OUTIL QU’IL FAUT EXPLOITER DÈS À PRÉSENT
« L’application d’un mécanisme de certification approuvé […] peut servir d’élément pour démontrer le respect des exigences. » – Article 28, paragraphe 5, du RGPD
Précision méthodologique : l’analyse qui suit repose exclusivement sur des informations publiques (communiqués de la CNIL, décisions de sanction publiées, articles de presse spécialisée, rapports de l’ANSSI). Elle ne prétend pas reconstituer l’intégralité des causes techniques de chaque incident, mais établit une correspondance entre les failles documentées publiquement et les critères du référentiel de certification CNIL des sous-traitants.
Un référentiel ambitieux et techniquement complet
La CNIL a publié en décembre 2024 un projet de référentiel de certification destiné aux sous-traitants au sens de l’article 28 du RGPD, soumis à consultation publique jusqu’en février 2025. Ce document contient 90 critères répartis en cinq parties (de l’éligibilité à l’amélioration continue) et complétés par une annexe technique de 25 mesures de sécurité (C32.01 à C32.25) couvrant l’ensemble du socle de sécurité opérationnel : chiffrement, gestion des habilitations, authentification multifacteur, journalisation, sauvegarde, reprise d’activité, tests d’intrusion.
La consultation est désormais clôturée et la CNIL construit la version définitive en concertation avec ses homologues européens via le mécanisme de cohérence du Comité européen de la protection des données (CEPD). Ce processus européen, nécessaire pour garantir la reconnaissance mutuelle de la certification entre États membres, est inhérent au fonctionnement institutionnel du RGPD et explique les délais de finalisation. Rappelons que le premier schéma de certification européen (Europrivacy) n’a lui-même été approuvé par le CEPD qu’en octobre 2022, soit quatre ans après l’entrée en application du RGPD.
La responsabilité des responsables de traitement et des DPO : un référentiel disponible mais ignoré
Le constat est sans appel : alors que le référentiel de la CNIL est librement accessible depuis décembre 2024, la très grande majorité des responsables de traitement et de leurs DPO n’en exploitent pas le contenu, même comme simple grille d’audit volontaire de leurs sous-traitants. L’article 28 du RGPD impose pourtant au responsable de traitement de ne faire appel qu’à des sous-traitants présentant des « garanties suffisantes ». Ce référentiel constitue précisément la traduction opérationnelle de cette exigence.
Plusieurs facteurs, tous imputables aux responsables de traitement et aux DPO, expliquent cette inertie :
- La conformité documentaire comme substitut à la sécurité opérationnelle. La pratique dominante consiste à faire signer les clauses contractuelles de l’article 28 du RGPD au sous-traitant, puis à considérer le sujet comme traité. Le registre est rempli, la clause est signée, le DPO passe au dossier suivant. Personne ne vérifie si le sous-traitant a effectivement implémenté les mesures techniques qu’il s’est engagé à respecter. Le référentiel CNIL démontre pourtant que la vérification des garanties du sous-traitant ne se limite pas à un échange contractuel : elle implique un contrôle technique réel des mesures décrites dans l’annexe C32.
- Le déficit de compétences techniques des DPO. Les critères C32.01 à C32.25 du référentiel (chiffrement au repos et en transit, filtrage des flux, gestion des clés cryptographiques, authentification multifacteur, SIEM, tests d’intrusion) exigent une compréhension technique que la majorité des DPO, issus du monde juridique ou de la conformité, ne possèdent pas. L’enquête annuelle de l’AFCDP le confirme : la dimension technique reste le point faible autodéclaré des DPO français. Ce déficit n’est pas une excuse recevable : le DPO a l’obligation de s’entourer des compétences nécessaires ou de solliciter un audit technique externe.
- L’absence d’exigence des responsables de traitement lors de la sélection des prestataires. Les appels d’offres publics comme privés intègrent rarement un volet sécurité des données évalué techniquement. Un sous-traitant qui répond « nous sommes certifiés ISO 27001 » ou « nous respectons le RGPD » est rarement questionné plus avant. Pourtant, une certification ISO 27001 ne couvre pas nécessairement le périmètre des traitements concernés, et une simple déclaration de conformité RGPD n’a aucune valeur probante. Le référentiel CNIL offre une grille d’évaluation bien plus pertinente, critère par critère, adaptée aux spécificités de la sous-traitance de données personnelles.
- Le déséquilibre du rapport de force commercial. Les grands éditeurs SaaS et prestataires informatiques imposent des conditions générales standardisées que les responsables de traitement acceptent sans négociation. Le référentiel CNIL pourrait servir de levier pour exiger des engagements précis (MFA, journalisation, tests d’intrusion annuels), mais il faut pour cela que les responsables de traitement formulent ces exigences dans leurs cahiers des charges, ce qu’ils ne font presque jamais.
- L’absence de suivi dans le temps. Même lorsqu’un audit initial est réalisé (ce qui est déjà rare), le suivi périodique est quasi inexistant. Le critère C5.02 du référentiel exige un plan d’évaluation de la sous-traitance ultérieure actualisé chaque année, incluant la vérification des mesures de sécurité (C2.11), la notification des violations (C3.11) et la suppression des données en fin de prestation (C4.05). Cette révision annuelle est une obligation de bon sens que presque aucun responsable de traitement ne met en œuvre.
Analyse cas par cas : comment le référentiel aurait réduit le risque de chaque violation majeure
Le croisement entre les failles documentées publiquement pour chaque incident majeur et les critères du référentiel de certification des sous-traitants révèle un schéma récurrent : chaque fuite aurait été évitée ou considérablement limitée si les responsables de traitement avaient exigé de leurs sous-traitants le respect des mesures que le référentiel CNIL considère comme un socle minimal.
Viamedis et Almerys (février 2024, 33 millions de personnes)
D’après les informations publiques, l’attaque a été rendue possible par l’hameçonnage du compte d’un professionnel de santé, suivi d’une usurpation d’identifiants. Almerys a confirmé un mode opératoire identique : une usurpation d’identifiants et de mots de passe de professionnels de santé a permis un accès non autorisé au portail. Viamedis et Almerys agissent comme sous-traitants au sens du RGPD pour le compte de 84 complémentaires santé (responsables de traitement).
Critères du référentiel CNIL que les responsables de traitement (complémentaires santé) auraient dû exiger de ces sous-traitants :
- C32.12 (Authentification multifacteur) : le référentiel exige que les utilisateurs habilités à accéder à des données sensibles soient soumis à une MFA. Les comptes de professionnels de santé accédant aux données de 33 millions d’assurés (numéro de sécurité sociale, état civil, garanties) entrent dans cette catégorie. L’attaque a fonctionné parce qu’un simple couple identifiant/mot de passe suffisait. Avec la MFA, le phishing du compte n’aurait pas suffi à accéder au portail.
- C32.05 (Gestion des habilitations) : le référentiel impose des profils d’habilitation limitant l’accès aux données selon le principe de moindre privilège. Un professionnel de santé n’a besoin d’accéder qu’aux données de ses propres patients, pas à l’ensemble d’une base de 33 millions de personnes. Le cloisonnement par professionnel aurait considérablement réduit le volume de données exposées.
- C32.16 (Système de journalisation) : le référentiel exige l’enregistrement de chaque action utilisateur avec identifiant, horodatage et nature de l’opération. Des requêtes anormales par volume ou par fréquence auraient dû déclencher une alerte si un système de journalisation conforme avait été déployé et exploité.
- C2.16 (Procédure de détection et résolution des incidents) : le référentiel exige des mécanismes automatisés de signalement d’événements suspects et la capacité de mettre temporairement à l’arrêt les traitements en cas d’incident confirmé. L’exfiltration a duré plusieurs jours sans détection.
- C5.02 (Plan d’évaluation de la sous-traitance ultérieure) : les complémentaires santé auraient dû vérifier annuellement la conformité de Viamedis et Almerys aux mesures de sécurité (C2.11), à la notification des violations (C3.11) et au respect des engagements contractuels. Aucune évaluation opérationnelle ne semble avoir été conduite.
Verdict : la MFA seule (C32.12) aurait bloqué le vecteur d’attaque initial. Le cloisonnement des habilitations (C32.05) aurait limité l’exposition à quelques dossiers au lieu de 33 millions. La responsabilité incombe autant aux complémentaires santé (responsables de traitement) qui n’ont pas vérifié les garanties techniques de leurs sous-traitants, qu’aux sous-traitants eux-mêmes.
France Travail (mars 2024, 43 millions de personnes)
D’après les informations publiques, l’attaque a exploité les comptes de conseillers de missions locales partenaires de Cap Emploi, eux-mêmes liés à France Travail. La CNIL a sanctionné France Travail (5 millions d’euros d’amende) pour, selon le communiqué de la décision, « ignorance de principes de sécurité essentiels », pointant l’insuffisance de la journalisation et de la détection des extractions massives, ainsi que des accès aux données plus larges que nécessaire.
Critères du référentiel directement en cause :
- C32.12 (Authentification multifacteur) : les comptes des conseillers de missions locales accédant à la base de 43 millions de demandeurs d’emploi ne bénéficiaient pas de MFA. Un simple identifiant compromis a suffi.
- C32.05 (Gestion des habilitations) : la CNIL a explicitement relevé des « accès aux données plus larges que nécessaire ». Le référentiel exige des profils d’habilitation différenciés limitant l’accès aux seules données nécessaires à la mission. Un conseiller de mission locale n’avait pas besoin d’accéder à l’intégralité de la base nationale.
- C32.16 (Système de journalisation) : la CNIL a pointé l’insuffisance des mécanismes de journalisation. Le référentiel exige un enregistrement systématique des actions avec identifiant, horodatage et nature des opérations, ainsi qu’une revue périodique des traces.
- C32.21 (Exportation de données) : le référentiel exige que les mesures d’exportation documentent et encadrent les conditions d’extraction. Aucun plafonnement des volumes n’était en place, permettant une exfiltration massive sans déclenchement d’alerte.
- C2.09 et C2.10 (Sous-traitance ultérieure) : la chaîne France Travail vers Cap Emploi vers missions locales constitue un cas typique de sous-traitance en cascade. Le référentiel exige un encadrement contractuel et une évaluation renforcée de chaque maillon, incluant la vérification des mesures de sécurité techniques. Cette chaîne n’était manifestement pas sécurisée de bout en bout.
- C3.12 (Audit technique) : le référentiel exige la réalisation d’un audit technique du système d’information, incluant des tests d’intrusion. Un tel audit aurait vraisemblablement révélé l’absence de MFA et le défaut de cloisonnement.
Verdict : France Travail cumule les défaillances sur la quasi-totalité du socle de sécurité du référentiel. L’application des seuls critères C32.12 (MFA), C32.05 (moindre privilège) et C32.21 (contrôle des exports) aurait suffi à empêcher ou limiter drastiquement cette violation.
FICOBA / DGFiP (janvier 2026, 1,2 million de comptes bancaires)
D’après les informations publiques, un identifiant de fonctionnaire compromis a suffi à interroger la base FICOBA (fichier des comptes bancaires, environ 300 millions de comptes) pendant plusieurs jours via les échanges interministériels, sans déclencher d’alerte. Le prestataire en charge de l’accès technique agit en qualité de sous-traitant.
Critères du référentiel directement en cause :
- C32.12 (Authentification multifacteur) : l’accès à une base contenant 300 millions de comptes bancaires par un simple identifiant/mot de passe constitue une défaillance élémentaire. Le référentiel exige la MFA pour tout utilisateur accédant à des données sensibles.
- C32.05 (Gestion des habilitations) : un seul profil d’accès permettait des requêtes sans limitation de volume ni de fréquence. Le référentiel exige des profils différenciés selon le principe de moindre privilège, avec validation hiérarchique de chaque habilitation.
- C32.16 (Système de journalisation) : des interrogations massives pendant plusieurs jours n’ont déclenché aucune alerte. Le référentiel exige non seulement l’enregistrement des actions, mais aussi une revue périodique des traces permettant de détecter les comportements anormaux.
- C32.13 (Accès à distance) : le référentiel exige que tout accès distant au système d’information soit conditionné à un VPN chiffré et à une authentification multifacteur. Les accès interministériels ne semblaient pas soumis à ces exigences.
- C2.16 (Détection des incidents) : le référentiel exige des mécanismes automatisés de détection des événements suspects. L’absence de détection pendant plusieurs jours révèle un défaut complet de supervision.
Verdict : l’incident FICOBA illustre une défaillance à chaque couche du modèle de sécurité du référentiel. Si le responsable de traitement (DGFiP) avait exigé de ses partenaires techniques le respect des critères C32.12, C32.05 et C32.16, cet incident n’aurait vraisemblablement pas eu lieu.
Ministère de l’Intérieur, ministère des Sports, missions locales (décembre 2025, 1,6 million de personnes)
D’après les informations publiques, la compromission a eu lieu via un prestataire tiers ayant accès aux systèmes ministériels. C’est le scénario type que le référentiel est conçu pour prévenir.
Critères du référentiel directement en cause :
- C5.02 (Plan d’évaluation de la sous-traitance ultérieure) : le référentiel exige une évaluation renforcée annuelle de chaque sous-traitant, incluant la vérification des mesures de sécurité techniques (C2.11), la notification des violations (C3.11) et la suppression des données en fin de prestation (C4.05). L’absence ou l’insuffisance de cette évaluation a permis l’exploitation d’une faiblesse chez le prestataire.
- C1.07 (Transparence sur les mesures de sécurité) : le référentiel exige que le sous-traitant documente précisément ses mesures de sécurité dans le contrat. Une description générique (« nous assurons un niveau de sécurité adéquat ») ne satisfait pas cette exigence.
- C3.12 (Audit technique) : le référentiel exige un audit technique périodique du système d’information du sous-traitant, incluant des tests d’intrusion. Si les ministères avaient imposé et vérifié cet audit, la vulnérabilité du prestataire aurait pu être détectée en amont.
- C32.12 et C32.13 (MFA et accès à distance) : les accès du prestataire aux systèmes ministériels auraient dû être conditionnés à une authentification multifacteur via VPN chiffré.
- C3.06 (Sensibilisation du personnel) : le référentiel exige que le sous-traitant sensibilise l’ensemble de son personnel à la protection des données, incluant un test d’évaluation. Le maillon humain chez le prestataire est souvent le point d’entrée de l’attaque.
Verdict : la responsabilité première incombe aux ministères (responsables de traitement) qui n’ont pas imposé de cahier des charges technique sérieux à leur prestataire, ni vérifié dans le temps le respect de ses engagements de sécurité.
DINUM / HubEE et communes via Synbird (2024-2025)
D’après les informations publiques, la plateforme d’échanges interministériels HubEE (opérée par la DINUM) et le prestataire Synbird (prise de rendez-vous d’état civil pour environ 1 300 communes) ont été compromis. Dans les deux cas, le vecteur initial est un accès non suffisamment sécurisé via un prestataire ou un partenaire technique.
Critères du référentiel en cause :
- C2.09 (Procédure de recours aux sous-traitants ultérieurs) : le référentiel exige une procédure formalisée pour tout recours à un sous-traitant ultérieur, incluant l’autorisation du responsable de traitement. Les communes utilisant Synbird n’avaient vraisemblablement pas évalué le niveau de sécurité de ce prestataire.
- C32.08 (Authentification des utilisateurs) : le référentiel exige un identifiant propre à chaque utilisateur et une authentification vérifiée avant tout accès aux données. Les accès partagés ou génériques constituent une violation directe de ce critère.
- C32.24 (Mises à jour de sécurité) : le référentiel exige l’application des correctifs de sécurité dans des délais définis. Les vulnérabilités non corrigées chez les prestataires sont un vecteur récurrent.
- C5.01 (Plan d’action pour la sécurité) et C5.04 (Veille et actualisation) : le référentiel exige une veille juridique et technologique continue, ainsi qu’un plan d’action pour la sécurité mis à jour régulièrement. L’absence de veille sur les vulnérabilités affectant les plateformes d’échange est une cause directe de ces incidents.
Synthèse : un schéma récurrent, une responsabilité claire
L’analyse croisée des cinq cas majeurs révèle que les mêmes critères du référentiel sont systématiquement défaillants :
| Critère du référentiel | Incidents concernés | Impact potentiel si respecté |
|---|---|---|
| C32.12 – MFA | Viamedis/Almerys, France Travail, FICOBA, Ministères | Blocage du vecteur d’attaque initial dans 100 % des cas |
| C32.05 – Moindre privilège | Viamedis/Almerys, France Travail, FICOBA | Réduction du volume de données exposées de plusieurs ordres de grandeur |
| C32.16 – Journalisation | Viamedis/Almerys, France Travail, FICOBA | Détection précoce, interruption de l’exfiltration avant achevèment |
| C5.02 – Évaluation annuelle des ST | Tous les incidents | Détection en amont des failles chez les prestataires |
| C3.12 – Audit technique / pentest | France Travail, Ministères, Synbird | Identification des vulnérabilités avant leur exploitation |
| C2.16 – Détection automatisée | Viamedis/Almerys, FICOBA | Arrêt de l’exfiltration en temps réel |
Le constat est sans équivoque : ce n’est pas l’absence de référentiel qui pose problème, mais l’absence de volonté des responsables de traitement d’exiger de leurs sous-traitants un niveau de sécurité que la CNIL considère pourtant comme un socle minimal. Les DPO, lorsqu’ils sont désignés, portent également une part de responsabilité significative : leur rôle de conseil et de contrôle les oblige à alerter le responsable de traitement sur l’insuffisance des garanties de ses sous-traitants, y compris en s’appuyant sur des outils existants comme ce référentiel, même en version projet.
La CNIL a posé les bases techniques d’une évaluation sérieuse. C’est désormais aux responsables de traitement et à leurs DPO de s’en emparer, sans attendre l’adoption formelle de la certification.
Cyberattaques et fuites de données de l’État français, ce qui manque
« Ce qui se passe actuellement dans l’espace numérique français est très grave. On a vraiment l’impression d’être une passoire. » – Un professionnel français de la cybersécurité
- Rendre la MFA obligatoire par décret pour tout accès à une base de données publique contenant plus de 100 000 enregistrements. Ne pas attendre 2 millions comme l’envisage la CNIL : le seuil est trop élevé au vu des enjeux.
- Mettre en place un référentiel CNIL de certification des sous-traitants comme grille d’audit obligatoire dans tous les marchés publics.
- Imposer un plafonnement immédiat des volumes d’extraction autorisés par session et par jour sur toutes les bases nationales (FICOBA, France Travail, tiers payant), avec alerte automatique au-delà d’un seuil configurable.
- Auditer d’urgence les accès interministériels : cartographier tous les comptes d’accès partagés, supprimer les accès non nominatifs, vérifier les habilitations existantes.
- Notifier et accompagner les citoyens : créer un portail national unique permettant à chaque citoyen de vérifier si ses données ont été compromises dans une fuite impliquant l’État.
- Déployer des SIEM/UEBA dans toutes les administrations gérant des données sensibles, avec capacité de détection en temps réel des comportements anormaux (extraction massive, connexion inhabituelle, horaires atypiques).
- Appliquer le principe du moindre privilège : chaque agent ne doit accéder qu’aux données strictement nécessaires à sa mission, avec révision trimestrielle des habilitations.
- Créer un fonds dédié à la cybersécurité des collectivités territoriales : un minimum de 15 000 euros par an et par collectivité, financé par l’État, pour couvrir audit, formation et outils de base.
- Imposer la formation continue obligatoire en cybersécurité pour tous les agents publics accédant à des données personnelles, avec certification annuelle.
- Revoir l’architecture des fichiers nationaux : défragmenter les bases hypercentralisées en compartiments étanches, appliquer le principe de minimisation (ne stocker que le nécessaire, pas 20 ans d’historique comme France Travail).
- Migrer vers une architecture Zero Trust pour les accès interministériels : chaque accès est vérifié en continu, indépendamment de la position dans le réseau.
- Tripler le budget de l’ANSSI pour le porter au niveau du NCSC britannique (350 M$), avec un volet dédié à l’accompagnement des administrations les moins matures.
- Intégrer la cybersécurité dans les critères d’évaluation des marchés publics : pondération minimale de 20 % du critère technique pour les appels d’offres impliquant le traitement de données personnelles.
- Créer une obligation légale de notification publique détaillée pour toute fuite impliquant une administration, incluant le vecteur d’attaque, les mesures correctives et le calendrier de mise en conformité.
