En mars 2024, France Travail, l’agence publique en charge de l'emploi, a subi une cyberattaque majeure qui a exposé les données personnelles de 36 millions de personnes.
Cette attaque a conduit la Commission nationale de l’informatique et des libertés (CNIL) à infliger à l’établissement public une amende de 5 millions d’euros pour avoir mal géré la sécurité des informations sensibles. Les données compromises lors de cette cyberattaque comprenaient des informations personnelles telles que les noms, prénoms, identifiants, numéros de sécurité sociale, dates de naissance, adresses, numéros de téléphone, ainsi que le statut des utilisateurs vis-à-vis de Pôle emploi.
Les mots de passe et les coordonnées bancaires n’ont cependant pas été affectés. L’attaque a utilisé des techniques d’ingénierie sociale, permettant aux attaquants de détourner les comptes de conseillers Cap Emploi. Ces derniers ont pu accéder à des informations nécessaires à la réinitialisation des mots de passe, usurpant ainsi les identifiants de leurs victimes.
Les reproches de la CNIL et les mesures imposées à France Travail
La CNIL a estimé que France Travail n’avait pas mis en place des mesures de sécurité adaptées à la protection des données personnelles, malgré l’importance du risque encouru. L’organisme a donc ordonné à France Travail de renforcer ses dispositifs de sécurité, en particulier pour les agents CAP EMPLOI. Désormais, les connexions aux comptes professionnels devront être protégées par des mots de passe robustes et une double authentification, afin d’empêcher de futures attaques de ce type.
De plus, la CNIL a exigé que France Travail prenne des mesures supplémentaires pour améliorer la surveillance des activités informatiques, notamment en réduisant le nombre de données accessibles aux agents et en détectant plus rapidement des comportements anormaux, comme l’exfiltration de grandes quantités de données.
Réponse de France Travail et mesures prises depuis l’attaque
France Travail a pris acte de la décision de la CNIL et a exprimé sa pleine conscience de la gravité de l’incident. L’établissement public a déclaré qu’il ne fera pas de recours et qu’il assume sa responsabilité dans cet événement. Toutefois, il a exprimé des réserves quant à la sévérité de la sanction, soulignant l’importance des efforts qu’il a déjà fournis en matière de cybersécurité.
Depuis l’attaque, France Travail a mis en place des outils de surveillance plus performants, incluant l’intelligence artificielle pour détecter les comportements suspects. L’organisme a également renforcé la formation et la sensibilisation de ses agents et de ses partenaires à la cybersécurité. Des formations obligatoires, actualisées tous les six mois, ont été instaurées pour garantir une meilleure protection des données à l’avenir.
