La sanction est tombée : France Travail devra s’acquitter d’une amende administrative de 5 millions d’euros pour ses négligences en matière de cybersécurité. La CNIL a rendu sa décision, pointant du doigt l’incapacité de l’opérateur public à protéger les données personnelles de millions de demandeurs d’emploi lors de la cyberattaque subie début 2024.
La CNIL ne s’est pas contentéed’une sanction financière. Le régulateur a également assorti sa décision d’une injonction contraignante : France Travail doit justifier de la mise en place de mesures correctrices selon un calendrier strict, sous peine de devoir payer une astreinte supplémentaire de 5 000 euros par jour de retard.
Les failles de sécurité qui ont permis le piratage
L’enquête de la CNIL a mis en lumière une série de manquements techniques graves qui ont facilité la tâche des pirates. Ces derniers ont utilisé des techniques d’ingénierie sociale pour usurper les comptes de conseillers Cap Emploi, leur ouvrant ainsi les portes du système d’information de France Travail.
La CNIL a identifié trois faiblesses majeures ayant rendu cette intrusion possible :
- Authentification faible : les modalités de connexion des conseillers Cap Emploi manquaient de robustesse.
- Absence de surveillance : le système de journalisation était insuffisant pour repérer les comportements anormaux ou suspects.
- Habilitations excessives : les droits d’accès étaient trop larges, permettant aux conseillers (et donc aux pirates) de consulter les dossiers de personnes qu’ils ne suivaient même pas.
Des données sensibles exposées sur 20 ans
L’ampleur de la fuite a pesé lourd dans le calcul de la sanction. Les hackers ont pu accéder aux informations de l’ensemble des personnes inscrites actuellement ou l’ayant été au cours des 20 dernières années. Le butin comprend des numéros de sécurité sociale, adresses postales et e-mail, ainsi que des numéros de téléphone.
Seule maigre consolation pour les victimes : les dossiers complets et les données de santé n’ont pas été compromis. La CNIL a par ailleurs souligné une circonstance aggravante, à savoir que France Travail avait pourtant identifié les mesures de sécurité nécessaires dans ses propres analyses de risques, mais ne les avait jamais déployées concrètement.
3 commentaires pour cet article :