Cyberattaque : la CNIL frappe France Travail de 5 millions d'euros d'amende pour des années de négligences
La CNIL a constaté plusieurs manquements de sécurité, dont l'absence de double authentification.
France Travail
La CNIL a constaté plusieurs manquements de sécurité, dont l'absence de double authentification.
France Travail
La Commission nationale de l'informatique et des libertés a rendu publique ce 29 janvier une amende de 5 millions d'euros à l'encontre de France Travail. L'établissement public est sanctionné pour avoir manqué à son obligation d'assurer la sécurité des données personnelles, à la suite d'une cyberattaque massive survenue au premier trimestre 2024.
Le hacker avait réussi à compromettre l’adresse mail d’un agent public. L'intrusion a permis ensuite aux attaquants d'usurper les comptes de conseillers de Cap Emploi. Les investigations ont révélé un accès aux données de l'ensemble des personnes inscrites au cours des 20 dernières années, soit potentiellement 43 millions de personnes. Les informations compromises incluent les numéros de sécurité sociale, les adresses mail et postales ainsi que les numéros de téléphone.
Le contrôle mené par la CNIL a révélé l'insuffisance des mesures techniques et organisationnelles. Les modalités d'authentification n'étaient pas suffisamment robustes selon les experts. L'absence de double authentification, une méthode aujourd’hui considérée comme obligatoire, n’était pas mise en place. Le système ne disposait que de quelques moyens d’alerte pour détecter les comportements anormaux. Enfin, les habilitations d'accès des conseillers étaient trop larges, permettant de consulter les données de personnes qu'ils n'accompagnaient pas.
Ce qui a pesé dans la décision, c'est que la plupart des mesures de sécurité avaient été identifiées en amont dans les analyses d'impact, mais n'avaient jamais été mises en œuvre. Cette passivité face à des risques connus constitue une circonstance aggravante.
Dans un communiqué envoyé à la presse, France Travail déclare avoir « pleinement conscience de la gravité des faits survenus et de la responsabilité qui est la nôtre en matière de protection des données ».Toutefois « sans contester la décision de la CNIL, nous en regrettons néanmoins la sévérité au regard de notre très fort en gagement en matière de cybersécurité et de protection des données de nos usagers depuis la survenance de cet incident ».
Chaque jour à 13h, l’essentiel de l’actualité tech.
L'agence indique la double authentification était en place depuis près de deux ans et qu'elle s'est engagé depuis plusieurs mois dans les développements nécessaires pour répondre à l’ensemble des injonctions de la CNIL.
Cette condamnation intervient dans un contexte préoccupant pour l’agence d’aide aux chercheurs d’emploi. En août 2023, France Travail avait déjà subi une fuite touchant 10 millions de demandeurs d'emploi. Le prestataire Majorel, chargé de la numérisation des documents, avait été compromis par un gang de hackers. Les données avaient été vendues ensuite sur le dark web. Bien que France Travail et Majorel aient déposé plainte, celle-ci a été classée sans suite.
En complément, la CNIL a enjoint France Travail de justifier des mesures correctrices apportées. L'établissement a indiqué avoir mis en place la double authentification depuis près de deux ans et engagé les développements nécessaires pour répondre aux injonctions du régulateur.
Pourtant en juillet dernier, des hackers se sont réintroduits dans un système de l’agence via le portail « Kairos » dédié aux formations, et ont dérobé les coordonnées de 340 000 demandeurs d'emploi. Vraisemblablement des failles subsistaient encore.
Faux fournisseurs, faux dirigeants, détournements de données... Une entreprise française sur trois déjà ciblée par une fraude
Rachat de SFR : le coup de poker de Bouygues Telecom pour devenir le numéro 2 du marché
L’Europe met hors la loi les faux nus créés par l’IA
IA : le français Genesis compte devenir le ChatGPT de la robotique