En l’espace de quelques semaines, plusieurs institutions au cœur de l’État français reconnaissent des incidents de cybersécurité. Ils impliquent des données personnelles de grande ampleur. C‘’est au cœur du ministère des Sports, de la Caisse d’allocations familiales, de l’Urssaf ou de plateformes interministérielles que l’action se déroule. Si les noms changent, la mécanique sous-jacente se ressemble. Loin des images spectaculaires de cyberattaques hollywoodiennes, ces affaires racontent une réalité plus feutrée, voire intimiste. L’inquiétude tient au fait d’un État numérique dont les données circulent de plus en plus, et se fragilisent à mesure qu’elles voyagent.

Les Français ne semblent plus s‘alarmer de telles fuites. Pourtant, les tentatives de fraudes sont légion. Comme attendu, les phishings, spoofing… se multiplient. Mais le plus inquiétant n’est pas les primodélinquants, mais ceux qui patientent, qui ont le temps. Laissant passer l’orage, les couvertures médiatiques, ils sont dans l’ombre, prêts à poursuivre leur attaque au moment opportun.

Une série d’incidents au cœur de l’État

Tout commence officiellement à la mi-décembre, lorsque le ministère des Sports reconnaît une exfiltration de données, dans le cadre du dispositif Pass’Sport. L’administration évoque la possibilité que les informations personnelles de plusieurs millions de foyers soient concernées. La communication est dépourvue d’émotion, presque clinique, mais les faits sont là. Quelques jours passent quand la CAF se retrouve citée dans une affaire plus conséquente.

Une mise en circulation d’un fichier contenant des données dites sociales. L’organisme affirme que ses systèmes d’information ne sont pas compromis. Mais à demi-mot, ils reconnaissent que certaines données utilisées par des services partenaires ont pu être exposées. Comme les dominos, et quasi simultanément, l’Urssaf est au-devant de a scène. Un accès non autorisé est révélé. Il est détecté sur une interface réservée aux partenaires institutionnels. Ceux-ci contiennent des informations issues des déclarations préalables à l’embauche (DPAE). L‘ampleur est là. Pas moins de douze millions de salariés depuis moins de trois ans sont potentiellement concernés, explique l’institution.

De la coïncidence fortuite à la réalité

« Aucun numéro de Sécurité sociale, aucune adresse mail ou postale, aucun numéro de téléphone ni aucune coordonnée bancaire ne sont concernés », affirme le communiqué de l’URSSAF. En janvier 2026, un incident sur la plateforme GAEL est révélé. Selon le communiqué de presse, « un acte de cybermalveillance a ciblé, entre le vendredi 9 janvier et le lundi 12 janvier 2026, la plateforme GAEL […]. Cette cyberattaque a entraîné une atteinte à la confidentialité d’une partie des données personnelles des candidats et lauréats de ces diplômes depuis 2005. »

Puis c’est la Direction interministérielle du numérique qui annonce une intrusion sur HubEE. La plateforme utilisée par différentes administrations pour échanger des documents est touchée. « Environ 160 000 documents administratifs, issus de 70 000 dossiers d’usagers, ont été exfiltrés. » Les administrations concernées sont la direction de l’information légale et administrative, la direction générale de la cohésion sociale, la direction générale de la Santé et la caisse nationale des allocations familiales…

L’incident met en évidence un phénomène : ces cyberattaques ne sont ni isolées ni anecdotiques. Les faits dessinent une chronologie resserrée et une accumulation qui ne peut plus être regardée comme une simple coïncidence. Une affaire précédente est celle de France Travail. En mars 2024, l’institution confirme être la victime d’une cyberattaque majeure. (Crédits : Almada Studio/Pexels)

Elle expose les informations personnelles de 43 millions d’individus inscrits ou ayant été inscrits au cours des deux dernières décennies. Dans ce cas, l’intrusion a permis l’extraction de données sensibles, ce qui avait déclenché une enquête de la CNIL et des recommandations somme toute logique. L’année suivante, France Travail a de nouveau été affectée par une série d’incidents touchant ses services et ses bases de données… En juillet, une attaque informatique sur la plateforme Kairos a exposé les données de 340 000 demandeurs d’emploi après compromission d’un compte partenaire.

En décembre 2025, c’est une nouvelle fuite qui met en danger les informations privées d’environ 1,6 million de jeunes suivis par le réseau des Missions Locales. C’est encore une fois la compromission de comptes. Ces incidents sur vingt-quatre mois illustrent la vulnérabilité des services publics face à des attaques ciblant des identifiants ou des interfaces légitimes.

Dans la lignée, le service de l’Assurance sociale Pajemploi fait état d’une fuite de données personnelles. Elle concerne 1,2 million de personnes liées à l’emploi des assistants maternels. Ces affaires, parmi d’autres révélations récentes autour de bases de données agrégées exposées pour des millions de citoyens.

(Crédits : blickpixel/Pixabay)

Cela met en exergue, non seulement de l’ampleur des volumes en circulation, mais également la complexité des architectures interconnectées. Celle-là même qui caractérise les systèmes d’information publics. L’enjeu, semble-t-il, n’est plus de protéger des silos isolés, mais de repenser la sécurité de l’ensemble des chaînes de traitement, ainsi que le partage des données personnelles.

De quelles données parle-t-on exactement ?

À chaque révélation, la même précision revient, presque comme un mantra rassurant. Il n’y a ni mots de passe, ni coordonnées bancaires, ni numéros de sécurité sociale exposés. Cela s’avère, dans les cas connus. Lorsque les cybercriminels sont discrets, rien ne transparaît, et tout est donc possible. Les données concernées sont : noms, prénoms, dates de naissance, situations professionnelles, employeurs, dates d’embauche, informations administratives liées à des droits ou à des dispositifs sociaux…

Ces données dites « simples », cachent ben leur jeu. Car, leur valeur réside dans leur exactitude et contextualisation. Si un opérateur malintentionné a accès à une date d’embauche, associée à un nom et à un véritable employeur, le message frauduleux reçu peut être suffisamment crédible pour tomber dedans. En conséquence, après avoir perçu une aide sociale, une demande de « mise à jour » parait vrai pour un œil non averti,. Les multitudes de données en vente dans certains forums permettent de mieux cibler. Ainsi, les informations extraites ouvrent la voie à des usages malveillants.

Ce qui change dans les cyberattaques : chemins autorisés… mais compromis

Ce que révèlent ces affaires, c’est une évolution silencieuse des modes opératoires. Il n’est plus nécessaire de casser des serrures numériques ou d’exploiter des failles spectaculaires. L’accès frauduleux passe désormais par des chemins autorisés, des interfaces prévues pour fonctionner, des comptes habilités… mais compromis.
Dans le cas de l’Urssaf, l’entité l’explique sans détour : « L’Urssaf a constaté un accès non autorisé à l’API contenant certaines données de la déclaration préalable à l’embauche, réservée à ses partenaires institutionnels, opéré via un compte partenaire habilité dont les identifiants avaient été compromis. » Le système a répondu normalement à une requête techniquement valide, sans pouvoir distinguer l’usurpation.
Même logique pour les plateformes mutualisées, comme HubEE, conçues pour fluidifier les échanges entre administrations. Elles concentrent les données, simplifient les démarches, mais se muent aussi des points de passage stratégiques. La donnée reste protégée tant qu’elle reste immobile ; elle devient vulnérable dès qu’elle circule.

(Crédits : Mart Production/Pexels)

Les cybercriminels utilisent ces données pour mener des campagnes d’hameçonnage. Phishing, spoofing, spearphishing, jusqu‘aux appels téléphoniques qui copie les codes des organismes publics. Quand un fichier volumineux ne signifie pas d’autant de victimes, mais chaque ligne exploitable renforce la crédibilité d’une escroquerie. Il suffit parfois d’un détail juste pour faire tomber la méfiance.

L’État numérique face à sa vulnérabilité ?

Les fuites ne créent pas immédiatement de victimes, mais elles préparent le terrain d’une fraude diffuse, progressive, difficile à quantifier. Les autorités ont-elles réagi correctement ? Sur le plan formel, oui.
Les réponses sont conformes aux obligations légales. Dépôts de plainte, notifications à la CNIL, communications publiques, suspension des comptes compromis, annonces de renforcement des dispositifs d’authentification. Chaque organisme se plie à la séquence attendue.

Mais une question demeure : ces mesures relèvent-elles de la correction structurelle ou de la gestion de crise ? Informer et rassurer est indispensable, mais cela ne dit rien de la capacité à prévenir la répétition des scenarii. Or, à lire les communiqués successifs, la responsabilité semble souvent se dissoudre dans l’écosystème : le noyau central n’est pas en cause, mais un partenaire ; la plateforme n’est pas défaillante, mais un accès détourné.

Un problème systémique : trop de données, trop de tuyaux

Ces incidents mettent en lumière un problème plus large encore. L’État numérique repose sur une transmission fluide entre administrations, opérateurs, partenaires techniques. Cette interconnexion est la condition de la simplification des démarches. Mais à trop la réduire, la sécurité se fragilise.
Plus les informations circulent, plus les points de contact croissent, plus la maîtrise devient complexe. La sécurité ne dépend plus seulement de l’institution détentrice de la donnée, mais de l’ensemble de la chaîne, jusqu’au dernier maillon. Dès lors, une question s’impose, presque politique : faut-il repenser la manière dont l’État partage et mutualise les données personnelles des citoyens ?

Face à cette réalité, la vigilance est de mise, plus que jamais. Se méfier des messages urgents, vérifier l’origine des sollicitations, ne pas répondre directement, passer l‘adresse dans un éditeur de texte, ne jamais transmettre de coordonnées bancaires par courriel ou SMS, ni vos pièces d’identité, privilégier les connexions sécuriser, activer la double authentification… bref prendre le temps dans un monde en perpétuelle accélération. (Crédits : Jasmijn Van der Maaten/Pexels)

Ces affaires successives ne racontent pas seulement des défaillances techniques. Elles révèlent une tension profondément contemporaine : celle d’un État numérique plus fluide, plus efficace, plus connecté, mais forcément plus exposé. À mesure que la donnée devient le carburant de l’action publique, sa protection cesse d’être un sujet technique pour devenir un enjeu démocratique. Dans un contexte international où le cyberespace est pleinement intégré aux stratégies de guerre et d’influence, ces fuites ne peuvent plus être analysées comme de simples incidents techniques.