22 données personnelles perdues par habitant : la France figure parmi les quatre pays les plus touchés au monde. Derrière les hackers et les failles techniques, c’est toute une chaîne de vulnérabilités qui est en cause. Mais, bonne nouvelle : les solutions sont connues.
Imaginez : vous postulez à un emploi via France Travail. Nom, prénom, numéro de sécurité sociale, adresse, téléphone — tout y passe. Quelques mois plus tard, ces informations circulent librement sur Internet. Ce n’est pas de la science-fiction : en mars 2024, les données de 36,8 millions de Français ont été aspirées par des pirates. La CNIL a révélé un détail édifiant : en une seule journée, 9 gigaoctets de données — l’équivalent de 13 millions de fiches — ont été extraits sans que personne ne s’en aperçoive.
France Travail n’est pas un cas isolé. SFR, Free, Cegedim, IDMerit, l’Office français de l’immigration… Les violations ont été multipliées par 14 en un an. Neuf Français sur dix sont concernés. Seuls les États-Unis et la Russie font pire en densité de fuites par habitant. Pour comprendre comment on en est arrivé là, il faut démonter la mécanique : chaque maillon de la chaîne numérique peut céder, et les pirates le savent.
On ne force plus la porte, on vole les clés
Première faille, et de loin la plus fréquente : l’identité. Oubliez le hacker qui « casse » du code. Aujourd’hui, à l’échelle mondiale, dans 60 % des cas, les fuites impliquent un facteur humain — erreur, manipulation ou abus de confiance. Le pirate ne fracture plus la serrure : il se fait remettre la clé.
Comment ? Par l’ingénierie sociale, d’abord. Un e-mail piégé, un faux appel téléphonique — et un salarié livre son mot de passe. C’est exactement ce qui s’est passé chez France Travail : les attaquants se sont fait passer pour des conseillers de Cap Emploi. Avec un simple identifiant, ils ont consulté l’intégralité de la base comme des employés ordinaires peuvent le faire.
Ensuite, il y a le marché noir des identifiants. Des logiciels malveillants appelés « infostealers » infectent silencieusement les ordinateurs et aspirent les mots de passe professionnels. 30 % des machines compromises étaient pourtant équipées d’antivirus. Les identifiants se revendent par millions, au même titre qu’un objet d’occasion. Un mot de passe seul, en 2025, ne protège tout simplement plus rien.
L’erreur invisible des développeurs
Deuxième maillon faible : le code lui-même. Dans la course au « tout connecté », les développeurs ont excellé pour vérifier votre identité (« Qui êtes-vous ? ») mais parfois négligé de vérifier vos droits (« Avez-vous accès à cette donnée précise ? »). C’est la différence entre authentification et autorisation — deux mots proches mais deux concepts très différents. Concrètement, il suffit parfois de modifier un numéro dans l’adresse web d’un service pour accéder aux données du voisin, comme si vous pouviez ouvrir le casier de quelqu’un d’autre en changeant un chiffre sur le cadenas. Cette faille, dite de « contrôle d’accès défaillant », est classée première menace mondiale par l’OWASP, l’organisme de référence en sécurité des applications web.
L’essor du cloud aggrave le problème. Autrefois, les serveurs d’une entreprise n’étaient pas tous accessibles sur Internet. Aujourd’hui, ils sont hébergés chez Amazon, Google, Microsoft, Scaleway ou OVH, et c’est le développeur « full stack » (capable de travailler sur toute la chaîne d’une application web jusqu’à son déploiement sur les serveurs) qui les configure. Sauf qu’un bon développeur n’est pas forcément un bon ingénieur réseau et sécurité : on retrouve régulièrement des bases de données de test ou de production — contenant de vraies informations de vrais clients — accessibles à quiconque sur Internet, simplement parce qu’un réglage a été oublié.
L’ennemi intérieur
Parfois, la fuite vient de l’intérieur, et elle est volontaire. En Europe, 29 % des violations proviennent d’acteurs internes à l’organisation. Un employé mécontent qui copie une base clients avant de claquer la porte. Un prestataire curieux qui consulte des dossiers qui ne le regardent pas. Un commercial qui exporte des fichiers sur une clé USB pour les emporter chez un concurrent. Ces fuites « humaines » sont les plus difficiles à détecter : l’individu a, en apparence, parfaitement le droit d’accéder aux données qu’il subtilise.
La sous-traitance, bombe à retardement
Aucune entreprise ne fonctionne seule. Vos données de santé transitent par un prestataire, votre banque confie ses contrats à un tiers, votre opérateur téléphonique délègue la maintenance de son site. La part des fuites impliquant un sous-traitant a doublé en un an, passant à 30 %. L’affaire Viamedis l’illustre : en piratant ce prestataire du tiers payant d’une mutuelle, les attaquants ont accédé aux données de 33 millions d’assurés, soit la moitié de la population française.
Plus insidieuse encore : la chaîne logicielle. Lorsqu’un développeur construit une application, il intègre des centaines de briques de code créées par d’autres — comme un chef cuisinier qui achèterait ses ingrédients à des dizaines de fournisseurs. Il suffit qu’un seul soit contaminé pour empoisonner le plat entier. C’est ce qui s’est produit avec la faille Log4j en 2021 : une petite bibliothèque de code utilisée dans des milliers de logiciels s’est révélée compromise, ouvrant la porte à des attaques à l’échelle planétaire. Plus récemment, l’éditeur Notepad++, très apprécié des développeurs, a subi lui aussi une compromission de son code source.
Le fantôme dans la machine : la dette technique
Dernier maillon, et non des moindres : les vieux systèmes. Paradoxe de 2025 : on peut se faire voler des données via un boîtier VPN vieux de dix ans ou un logiciel de gestion de site web jamais mis à jour. Ces logiciels et matériels « legacy », souvent oubliés des équipes informatiques, sont les cibles préférées des failles dites « zero-day » — des vulnérabilités inconnues des concepteurs et exploitées avant qu’un correctif n’existe. Le pirate entre par le vieux système, puis « pivote » vers les environnements modernes. Le rapport Verizon 2025 le confirme : les failles sur les équipements de périmètre (VPN, pare-feux) ont été multipliées par huit, et seules 54 % d’entre elles sont corrigées, avec un délai médian de 32 jours.
Le mirage réglementaire européen
Face à cette hémorragie, la réglementation devrait protéger les citoyens. Le RGPD a marqué un progrès, mais sept ans après, un constat s’impose : la logique européenne reste massivement administrative. On investit dans les registres, les analyses d’impact, les déclarations de conformité, bref, dans la paperasse. C’est comme exiger d’un restaurant qu’il remplisse trente formulaires sur l’hygiène sans jamais vérifier la température de ses réfrigérateurs. France Travail en est le cas d’école : l’organisme avait identifié toutes les mesures de sécurité nécessaires dans ses analyses d’impact… sans jamais les appliquer.
Le contraste avec l’approche anglo-saxonne est frappant. La Federal Trade Commission américaine exige des mesures techniques concrètes : chiffrement obligatoire, tests d’intrusion réguliers, audits par des experts indépendants. Quant à la responsabilité en chaîne de sous-traitance, le RGPD l’affirme sur le papier, mais l’article 82 permet au donneur d’ordre de se dégager si le sous-traitant est fautif. Résultat : un ping-pong juridique où les victimes n’obtiennent quasiment jamais de compensation directe.
L’entrée en vigueur de la directive NIS2 en janvier 2023, soit la principale réglementation européenne en matière de cybersécurité pour protéger les infrastructures critiques et les services essentiels, promet de changer la donne. Encore faut-il qu’elle soit transposée dans le droit national de chaque pays, ce qui n’est pas encore le cas. Elle doit par exemple encore faire l’objet d’un débat parlementaire en France avant d’être promulguée. Elle impose des mesures techniques plus prescriptives et engage la responsabilité personnelle des dirigeants, ce qui pourrait enfin aligner l’Europe sur une logique d’obligation de résultats. Mais, en ne s’appliquant pas à toutes les entreprises, elle crée le risque du développement d’une cybersécurité à deux vitesses, voyant la majorité des PME rester exposées au flou juridique et technique actuel.
Comment s’en sortir ?
Comme nous l’avons déjà écrit, la bonne nouvelle tient en l’existence de solutions. La première impose d’en finir avec le mot de passe unique. L’authentification multifacteur (MFA) — le principe du double verrou — doit devenir la norme absolue : même si quelqu’un vole votre mot de passe, il ne peut entrer sans un second code généré sur votre téléphone. Si France Travail l’avait exigé pour Cap Emploi, l’attaque aurait probablement échoué.
La deuxième impose de surveiller les comportements anormaux plutôt que de se contenter de verrouiller les portes. Aucun employé n’a besoin de télécharger 13 millions de fiches en un jour. Un système de détection d’anomalies, fonctionnant comme un disjoncteur électrique, aurait coupé l’hémorragie dès les premières minutes.
La troisième relève du cloisonnement. Un prestataire n’a pas toujours besoin d’accéder à une base entière pour faire son travail. Le principe du « moindre privilège » — ne donner que les accès strictement nécessaires ou chiffrer les données — aurait limité certaines fuites. De même, les serveurs de production ne devraient jamais pouvoir communiquer librement avec Internet : si une librairie de code vérolée tente d’envoyer des données vers un serveur inconnu, le flux doit être bloqué par défaut.
La quatrième invoque la remise en cause permanente des systèmes existants. Le vieux dogme « tant que ça marche, on ne touche à rien » est dangereux. Il faut renouveler régulièrement les clés d’accès, les certificats, les configurations — forcer le mouvement pour débusquer un éventuel intrus caché dans le système. C’est la technique du « chaos monkey », appliquée à la sécurité informatique.
Enfin, la France et l’Europe doivent sortir du tout-administratif pour privilégier l’efficacité opérationnelle. Plutôt que de multiplier les registres, il faut imposer des mesures de protection concrètes à l’ensemble du tissu économique. En instaurant la transparence sur les fuites, la réputation deviendra un levier aussi puissant que les sanctions financières. Il est temps que les entreprises craignent plus les cybercriminels que les auditeurs de conformité. Pour cela, on pourrait aussi accorder juridiquement la propriété de leurs données aux particuliers, ce qui transformerait la nature même du vol. Le prestataire deviendrait ainsi le simple dépositaire d’un bien qui ne lui appartient pas. Ce changement de paradigme permettrait aux victimes d’engager des recours collectifs (class actions) et de récupérer directement le montant des amendes à titre de réparation. Car la cybersécurité n’est ni un problème de hackers, ni une fatalité technologique. C’est une question d’organisation, de bon sens et de volonté politique. Les outils existent. Il ne reste plus qu’à les appliquer.
Et cette urgence prend une dimension nouvelle à l’heure où nos gouvernements veulent généraliser la certification d’identité en ligne. L’Assemblée nationale a adopté le 26 janvier 2026 une proposition de loi interdisant les réseaux sociaux aux moins de 15 ans. Pour l’appliquer, il faudra vérifier l’âge de tous les utilisateurs — pas seulement des mineurs. Parmi les pistes envisagées : l’envoi d’une pièce d’identité accompagnée d’un selfie, ou le recours à l’application France Identité, adossée à la carte d’identité électronique. Autrement dit, au moment même où l’on peine à protéger nos numéros de sécurité sociale et nos adresses, on s’apprête à confier nos documents d’identité officiels à des circuits de vérification supplémentaires — autant de nouvelles surfaces d’attaque. On peut légitimement se demander si un pays qui n’arrive pas à empêcher l’extraction de 13 millions de fiches en une journée est vraiment prêt à centraliser la vérification d’identité de 50 millions d’internautes. Le « double anonymat » promis par le gouvernement est une belle idée sur le papier — mais on a vu les limites de la sécurité sur le papier.
En attendant, si, anxieux, vous souhaitez savoir en direct où en sont les fuites de données observées, vous pouvez les suivre sur le site Bonjour la fuite… Pas de quoi vous rassurer au moment où vous répandez vos données sur la toile, mais vous serez au moins informés…
Portrait de ville : Nantes, la désenchantée
