Fuite de données de 36,8 millions de personnes : France Travail écope de 5 millions d’euros

36,8 millions de personnes, jusqu’à 20 ans d’historique, et une exfiltration estimée à 25 Go de données personnelles. La sanction tombe, France Travail écope d’une amende de 5 millions d’euros après une attaque détectée au premier trimestre 2024, au terme de plusieurs semaines d’activité malveillante. Le régulateur pointe un système d’information tentaculaire, ouvert à de nombreux acteurs, avec des standards de sécurité jugés insuffisants.

Ce qui choque, ce n’est pas seulement le volume. C’est la nature des informations: numéro de sécurité sociale, coordonnées, statut vis-à-vis de l’emploi, et des éléments liés au handicap, parfois assimilables à des données de santé. La CNIL ne retient pas l’argument de la complexité, elle le retourne: plus c’est complexe, plus l’exigence de sécurité monte. Et quand une partie des accès passe par des partenaires, la responsabilité de pilotage, elle, reste au centre.

La CNIL inflige 5 millions d’euros après l’attaque de mars 2024

La formation restreinte de la CNIL sanctionne France Travail à hauteur de 5 millions d’euros. Dans son raisonnement, le régulateur insiste sur un point: il ne s’agit pas de punir une organisation parce qu’elle a été visée, mais parce que des mesures techniques et organisationnelles adaptées n’étaient pas au niveau du risque. Le message est clair, une attaque peut arriver, mais un système doit la rendre plus difficile, et surtout la détecter plus tôt.

Dans le déroulé connu, l’intrusion est repérée après plusieurs semaines d’activité malveillante. Ce décalage pèse lourd, parce qu’il laisse du temps pour explorer, rebondir, et extraire. Le volume évoqué, 25 Go exfiltrés, donne une idée de la durée et de l’ampleur. Et quand le périmètre concerne des personnes inscrites ou l’ayant été sur 20 ans, l’incident devient un sujet de sécurité publique, pas un simple dossier informatique.

Les données concernées incluent des identifiants et des coordonnées, mais aussi des informations plus sensibles comme le statut d’emploi et des éléments liés au handicap. Là, on touche à la vie quotidienne: un numéro de sécurité sociale combiné à une adresse et un e-mail, c’est une base solide pour l’usurpation d’identité et le phishing ciblé. Et même si les dossiers complets des demandeurs d’emploi n’ont pas été accessibles, l’exposition de ces champs suffit à créer du risque.

Le point technique mis en avant par le régulateur, c’est l’absence de mesures qui auraient rendu l’attaque plus difficile. On parle d’obligation de moyens au titre du RGPD, mais une obligation réelle, pas une formule. Les contrôles d’accès, la robustesse de l’authentification, et la surveillance des comportements anormaux sont des fondamentaux. Quand ces briques sont jugées insuffisantes, la sanction devient un rappel brutal, surtout pour un opérateur public au cur de la vie administrative.

Les comptes Cap emploi détournés via l’ingénierie sociale

L’enquête souligne un mode opératoire classique, mais redoutable: l’ingénierie sociale. Les attaquants exploitent la confiance, l’habitude, parfois la fatigue, pour obtenir des accès légitimes. Dans ce dossier, des comptes de conseillers Cap emploi ont été détournés, ouvrant une porte vers le système d’information de France Travail. Ce n’est pas un détail, parce que ces comptes appartiennent à un écosystème de partenaires, avec des usages et des environnements variés.

Le problème, c’est que l’authentification permettant à des conseillers d’accéder au système a été jugée pas suffisamment robuste. Quand tu relies des milliers d’utilisateurs, potentiellement répartis sur des structures différentes, tu dois compenser par des contrôles plus stricts, pas l’inverse. Or là, l’accès a pu être usurpé, puis utilisé comme un accès normal, ce qui complique la détection si les alertes et les traces ne sont pas au niveau.

La CNIL insiste aussi sur l’insuffisance des mesures de journalisation, les fameux logs, pour détecter des comportements anormaux. Sans traces exploitables, difficile de voir qu’un compte se connecte à des horaires inhabituels, depuis un emplacement atypique, ou qu’il consulte des volumes de données incohérents avec une activité de conseiller. Dans la vraie vie, c’est ce qui fait la différence entre une tentative stoppée en quelques minutes et une extraction qui dure des semaines.

Le dossier illustre un point souvent mal compris: l’attaque ne passe pas forcément par une faille spectaculaire, elle passe par une chaîne. Un identifiant compromis, une authentification trop faible, une surveillance insuffisante, et l’attaquant progresse. Et quand l’organisation s’appuie sur des partenaires, la surface d’attaque s’élargit. La CNIL rappelle que le pilote des règles de sécurité reste France Travail, même quand des co-responsables de traitement interviennent.

36,8 millions de personnes touchées, 20 ans d’inscriptions dans le périmètre

Le chiffre frappe: 36,8 millions de personnes concernées. Ce périmètre inclut les individus inscrits, ou ayant été inscrits, sur les 20 dernières années, et aussi des personnes disposant d’un compte candidat sur francetravail. fr. En clair, ce n’est pas seulement les demandeurs d’emploi du moment. C’est une partie massive de la population active, passée ou présente, avec des traces administratives conservées sur une longue période.

Dans les données exposées, on retrouve le numéro de sécurité sociale, des adresses e-mail, des adresses postales, et des numéros de téléphone. C’est le kit parfait pour des campagnes d’escroquerie très crédibles: faux messages de mise à jour de dossier, fausses convocations, fausses alertes de paiement. Ajoute le statut vis-à-vis de l’emploi, et tu peux personnaliser les messages, en visant des personnes plus vulnérables à une promesse de régularisation ou d’aide.

La présence d’informations liées au handicap augmente encore la sensibilité. Même si le régulateur indique que les attaquants n’ont pas accédé aux dossiers complets, ces éléments peuvent suffire à créer une atteinte à la vie privée. Dans un contexte de discrimination potentielle, la simple divulgation d’un statut ou d’un accompagnement spécifique peut avoir des conséquences sociales et professionnelles. Et c’est précisément ce type de risque que le RGPD demande d’anticiper.

Un autre angle, plus terre-à-terre: quand une base couvre deux décennies, le ménage des données devient un sujet central. Conserver longtemps peut servir l’accompagnement, l’historique, la lutte contre la fraude, mais cela augmente mécaniquement l’impact d’un incident. La CNIL ne dit pas qu’il faut effacer sans réfléchir, mais elle rappelle une logique: plus tu gardes, plus tu dois protéger. Et plus tu ouvres à des acteurs multiples, plus tu dois verrouiller.

La CNIL pointe authentification faible et journalisation insuffisante

Deux reproches ressortent clairement: une authentification jugée trop faible pour certains accès, et une journalisation insuffisante pour repérer l’anormal. Sur l’authentification, l’exemple cité concerne les conseillers Cap emploi, dont les comptes ont pu être détournés. Là, le sujet n’est pas théorique: si l’accès repose sur des mécanismes faciles à contourner, l’attaquant obtient un badge valide. Et un badge valide, c’est souvent la meilleure arme.

Sur la journalisation, la CNIL parle d’inadéquation des mesures pour détecter des comportements anormaux. Dans un système d’information critique, les logs ne sont pas juste des fichiers, ce sont des capteurs. Ils alimentent des alertes, des corrélations, des enquêtes. Sans eux, tu ne vois pas l’exploration progressive, les extractions par lots, ou les connexions répétées. Et quand l’activité malveillante dure plusieurs semaines, la question devient: pourquoi rien n’a sonné plus tôt?

Le régulateur insiste aussi sur la dimension organisationnelle: il ne suffit pas d’empiler des outils. Il faut une gouvernance, des règles, des contrôles, et une cohérence dans un environnement tentaculaire. Le système de France Travail est décrit comme ouvert à de multiples acteurs, ce qui rend la discipline plus compliquée. Mais la CNIL le dit sans détour, la complexité n’atténue pas, elle renforce l’obligation de sécuriser.

Dans le paysage français, cette approche s’inscrit dans une séquence plus large de piratages et d’accès frauduleux, y compris dans d’autres organismes. On voit la même mécanique: des volumes massifs, des accès détournés, des alertes tardives. La CNIL veut pousser les organisations à traiter la sécurité comme un processus continu, pas comme une réaction. Et quand la sanction vise un opérateur public, le signal envoyé aux autres administrations est difficile à ignorer.

France Travail revendique MFA et surveillance, la question du pilotage reste posée

Dans sa communication, France Travail dit avoir pris acte de la sanction et met en avant des mesures de renforcement: politique de mots de passe, habilitations, réduction des périmètres d’accès, et surtout authentification multi-facteurs déjà déployée. L’organisme explique aussi travailler sur la surveillance des activités anormales, par exemple les connexions infructueuses ou suspectes. Sur le papier, c’est la liste des chantiers attendus après un incident de ce type.

L’établissement avance également un chiffre: près de 10 000 actes de malveillance déjoués chaque année grâce à des systèmes de protection, et rappelle l’ampleur de la maison, avec 54 000 agents. Ces ordres de grandeur comptent, parce qu’ils montrent la réalité opérationnelle: beaucoup d’utilisateurs, beaucoup de flux, donc beaucoup de points d’entrée potentiels. Mais c’est aussi là que la CNIL attend un pilotage solide, parce que la taille ne protège pas, elle expose.

Autre élément mis en avant: la part des incidents liés à l’humain, avec 90 % des cyber incidents attribués à des erreurs humaines selon l’organisme, et des formations obligatoires à renouveler tous les six mois, conditionnant l’accès au système. C’est cohérent avec l’attaque par ingénierie sociale. Mais il faut le dire franchement: former ne suffit pas si l’authentification et la détection ne suivent pas. La sécurité, c’est une chaîne, et la chaîne casse au maillon le plus faible.

La question de fond reste celle du pilotage dans un écosystème partagé, avec des partenaires et des co-responsables. Quand des accès externes existent, la gouvernance doit préciser qui impose quoi, qui contrôle quoi, qui audite quoi, et à quelle fréquence. La CNIL rappelle que le responsable ne peut pas se défausser sur la complexité. Et pour les personnes concernées, la priorité reste très concrète: limiter les risques d’usurpation, surveiller les sollicitations suspectes, et exiger une information claire sur ce qui a été exposé.