5 millions d’euros, et des obligations de renforcement de sa cybersécurité : voici à quoi France Travail vient d’être condamné après la cyberattaque de mars 2024 qui avait concerné près de 37 millions de Français.
France Travail, ex-pôle emploi, n’a pas « assuré la sécurité des données des personnes en recherche d’emploi ». Voilà la conclusion de la Commission nationale Informatique et Liberté (CNIL) qui a condamné, le 22 janvier dernier, l’administration en charge des demandeurs d’emploi à une amende salée, après le hack de mars 2024. Dans un communiqué publié ce jeudi 29 janvier, l’autorité en charge de défendre nos données personnelles sanctionne France Travail à hauteur de 5 millions d’euros, avec des obligations de renforcement de sa cybersécurité à la clé.
Entre février et mars 2024, des pirates s’étaient servis de comptes de conseillers compromis pour exfiltrer les données personnelles de 43 millions de Français – un chiffre finalement ramené à 37 millions. Ces données sensibles, qui comprennent le précieux numéro de Sécurité sociale, avaient rapidement été exploitées dans le cadre d’arnaques en tout genre. Une vague de phishing par SMS s’était ensuite propagée dans toute la France.
À lire aussi : Face à l’explosion des cyberattaques, la France change de stratégie
France Travail ne conteste pas la sanction mais regrette sa sévérité
Le montant de l’amende prononcée tient « compte de la méconnaissance des principes essentiels en matière de sécurité, du nombre de personnes concernées, du volume et de la sensibilité des données traitées », écrit la CNIL. France Travail devra aussi adopter des mesures correctives pour éviter que la situation se répète.
Car le gendarme français des données personnelles a observé des « modalités d’authentification des conseillers CAP EMPLOI (…) pas suffisamment robustes », et des « habilitations d’accès des comptes des conseillers CAP EMPLOI (…)définies de manière trop large ». Ces derniers avaient accès à des « données de personnes qu’ils n’accompagnaient pas, ce qui a accru le volume de données accessibles par les attaquants ». La CNIL observe aussi que France Travail avait bien identifié avant la cyberattaque les failles à corriger, mais elle ne les avait pas mises en œuvre.
Dans un communiqué qui nous a été adressé ce jour, France Travail prend acte de la sanction qu’elle ne contestera pas devant le Conseil d’État. Mais l’administration explique regretter « la sévérité au regard de notre très fort engagement en matière de cybersécurité et de protection des données de nos usagers depuis la survenance de cet incident ». « Sans attendre la décision de la CNIL, nous avons d’ores et déjà mis en place les mesures correctives demandées avec notamment la double-authentification depuis près de deux ans et avons engagé depuis plusieurs mois les développements nécessaires pour répondre à l’ensemble des injonctions de la CNIL », ajoute-t-elle.
Trois autres cyberattaques depuis mars 2024
L’administration chargée des demandeurs d’emploi a depuis fait l’objet d’autres cyberattaques, conduisant à plusieurs fuites de données. L’été dernier, une nouvelle attaque a exposé les informations de 340 000 demandeurs d’emploi. En octobre, un gang criminel a subtilisé les données de 30 000 Français. En décembre enfin, un pirate a consulté les données personnelles d’environ 1,6 million de jeunes suivis par les Missions Locales. Des informations sensibles comme l’état civil, le numéro de sécurité sociale et les coordonnées de contact ont été potentiellement divulguées.
À lire aussi : France Travail : la CNIL inquiète de la sécurité des données personnelles des demandeurs d’emploi
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.