La fuite d’informations n’est plus l’accident rare qu’une institution espère contenir à huis clos avant de reprendre son souffle. Elle est devenue un bruit de fond, presque un régime ordinaire du numérique. En ce début d’année 2026, entre le bilan déjà vertigineux dressé sur les deux premiers mois, l’affaire de la Carte Jeune Occitanie (CJO), l’exfiltration de données liée aux CROUS, l’attaque signalée par la Fédération française de rugby et la cyberattaque qui a frappé la billetterie de musées lyonnais via Vivaticket, c’est une même réalité qui s’impose : les données personnelles circulent souvent plus vite que la responsabilité.

À force de se répéter, la fuite de données perd son pouvoir d’effroi. Un nouvel incident survient. Une communication promet la vigilance. Des recommandations de prudence sont diffusées. Puis l’attention se dissipe. C’est précisément ce mécanisme d’accoutumance qui devrait inquiéter. Pendant que l’opinion se lasse, les bases s’accumulent, les fichiers circulent, les identités se recomposent et les victimes, elles, demeurent exposées.

La banalisation des fuites de données

Le constat est brutal. Dans le bilan du premier trimestre, les fuites de données sont légion. « Une fuite massive chez Alinto expose 40 millions de métadonnées e-mail, touchant grandes entreprises et institutions françaises. Un risque majeur de phishing et de cyberattaques ciblées », explique French Breaches. Parmi les entreprises identifiées, on compte L’Oréal, Renault, Carrefour, DHL et Hermès. En 2025, ce sont plus d’une centaine de fuites importantes.

Le danger de ce conglomérat de fuites n’est pas la violation en tant que telle, mais la consolidation de toutes les données exposées. Ainsi, la construction d’activités malveillantes spécifiques est permise, avec une connaissance plus profonde des individus concernés ou ciblés. Les attaques de la supply chain couplées à de l’ingénierie sociale sont légion.

« Les attaques contre la chaîne logistique ou d’approvisionnement (supply-chain attack) consistent à compromettre un tiers, comme un fournisseur de services logiciels ou un prestataire, afin de cibler la victime finale. Cette technique est éprouvée et exploitée par plusieurs acteurs étatiques et cybercriminels depuis au moins 2016 », relate le rapport du CERT à la page 48.

Cela évoque l’une des dernières incursions d’UNC1069 contre le Node Package Manager (NPM) « axios ». UNC1069, alias CryptoCore alias MASAN, est un APT (Advanced Persistent Threat) nord-coréen connu pour cibler les échanges de cryptomonnaies et les institutions financières, en utilisant des techniques de spear-phishing.

Carte Jeune Région en Occitanie

L’affaire de la CJO concentre à elle seule plusieurs lignes de fracture. La Région Occitanie a confirmé avoir reçu, le 5 mars 2026, un avis de son prestataire technique sur un incident de sécurité affectant le système de la Carte. « La région Occitanie vient (encore) de subir une faille de sécurité touchant les bénéficiaires de la Carte Jeune Région. Plus de 310 000 lycéens, apprentis et étudiants voient ainsi leur vie privée compromise par ce piratage », martèle France Bleu. Les informations mises à la disposition de tout un chacun sur le dark web sont les prénoms, noms, les coordonnées, dates de naissance, courriels, numéros de téléphone, le tout avec un volume important de photographies. (Crédits : Swastik Arora/Pexels)

Cette fuite expose des identités jeunes, jusqu’à parfois celle des représentants légaux, des rattachements scolaires et des éléments suffisamment précis pour nourrir de l’ingénierie sociale, de l’hameçonnage ciblé ou de l’usurpation. Le plus révélateur, ici, n’est plus seulement l’incident. C’est le modèle. On numérise pour simplifier l’accès à des aides, à des services, à des avantages éducatifs ou culturels. Une base bien intentionnée reste une base.

Quand une plateforme du Crous devient un gisement de données

L’exfiltration de renseignements confidentiels issus du site « Mes Rendez-Vous » prolonge ce même constat. Le 24 mars 2026, le réseau des CROUS confirme l’extraction de données concernant 774 000 personnes, issues de la décennie précédente. Parmi elles, 139 000 ont vu des pièces jointes exfiltrées, et 635 000 ont subi les conséquences d’une fuite limitée au prénom, nom, courriel ainsi que l’objet et la date du rendez-vous.

Là encore, un schéma est familier. Une routine presque invisible dans le quotidien administratif. Des données s’accumulent au fil du temps. Puis vient la révélation que cette matière silencieuse constitue un actif criminel de premier ordre. Le groupe DumpSec revendique l’affaire. Les pièces concernées sont encore sensibles.

Cet incident se regarde pour ce qu’il est vraiment. Il n’est pas une simple fuite de plus, mais un rappel du potentiel à vocation criminelle des infrastructures de service quand elles concentrent, sur une longue durée, des données personnelles liées à des parcours de vie, à des demandes d’aide ou à des situations sociales fragiles.
La plateforme AlumnForce a été victime d’une cyberattaque entraînant l’exfiltration de données. Elle porte sur environ 2,7 millions de profils. La base contiendrait plus de 1,83 million de courriels uniques et plus de 651 000 numéros de téléphone. Les informations ainsi collectées afficheraient prénom, nom, courriel, numéro de téléphone, adresse postale, lieu de travail, poste occupé, adresse professionnelle, entreprises…

La FFR plaquée au sol

Le cas de la Fédération française de rugby ajoute une autre dimension au tableau. La FFR relate être victime d’une cyberattaque. Cet incident s’est produit à la suite d’une campagne de phishing visant certains licenciés. Elle précise que les systèmes d’information n’auraient pas subi de dommages.
Une base volumineuse de plus de 500 000 personnes potentiellement concernées, en plus de photographies et de nombreux documents. Avec un croisement des fuites précédentes, telles que la Carte jeune Région, et l’ingénierie sociale bondissent d’un cran supplémentaire. (Crédits : Malama Mushitu/Pexels)

Les multiples fuites rappellent une chose simple. Le risque cyber ne se cantonne plus aux banques, aux opérateurs ou aux grandes entreprises. En cas de conflit, la guerre se déroule sur terre, dans l’air, sur et dans les océans et mers, dans l’espace et le cyberespace. Le risque s’est dilué au sein des structures de confiance du quotidien et dans nos habitudes.

La billetterie passe au révélateur la fragilité des dépendances techniques

À première vue, l’attaque contre la billetterie de plusieurs musées lyonnais semble d’un autre ordre, pourtant. Le système de billetterie de quatre musées — le Musée des Beaux-Arts, le Musée d’art contemporain, le Musée Gadagne et le Centre d’Histoire de la Résistance et de la Déportation — est touché, avec compromission de données, notamment prénoms, noms, adresses postales, numéros de téléphone et mots de passe.

Nous avons adressé des notifications à la CNIL et à l’ANSSI, tandis qu’on a invité les utilisateurs à changer leur mot de passe, relate l’entreprise.

Car l’affaire lyonnaise n’est pas isolée. Elle se mue en un cas international et touche 3500 musées européens. Les responsables de l’attaque de type ransomware la revendiquent et affichent leur site de fuite.

« Chère direction d’Irec SAS. Nous vous attendions depuis un certain temps, mais il semble que votre service informatique ait décidé de dissimuler l’incident survenu dans votre entreprise. Nous vous recommandons fortement de nous contacter afin d’éviter que vos données confidentielles et vos documents de projets ne soient divulgués », annoncent les opérateurs derrière le rançongiciel RansomHouse.

État dégradé du numérique

Ce que raconte ensemble le premier trimestre de 2026 n’est pas une simple série de faits. C’est également un affaiblissement de la confiance, donc de la réputation, et indirectement un impact financier.

Et cette logique ne se limite pas aux bases administratives ou aux prestataires du quotidien : les révélations récentes autour d’une fuite alléguée de plus de dix pétaoctets depuis un centre national de supercalcul de Tianjin en Chine rappellent que la compromission de données peut aussi changer d’échelle et toucher des infrastructures a valeur stratégique, même si ce cas reste à confirmer pleinement. (Crédits : Ehsan Hasani/Pexels)

Mais la vraie question, sous-jacente, n’est plus seulement : une fuite s’est-elle produite ? Elle est devenue plus sévère : quelle organisation a réellement réduit sa collecte, cartographié ses dépendances, limité ses durées de conservation, segmenté ses accès et préparé l’après-incident ? Tant que cette question restera sans réponse robuste, la fuite de données continuera d’apparaître comme une crise ponctuelle, alors qu’elle est déjà, pour une part du numérique contemporain, une condition ordinaire de fonctionnement.