L’Anssi cherche à minimiser l’explosion des fuites de données en France. Le patron de l’agence nationale de sécurité estime qu’il y a une « surcouche de bluff » dans les revendications de piratage. Il trouve aussi que l’État français fait bien assez pour lutter contre les vols de données… alors que plusieurs ministères et services publics se sont récemment fait pirater.
Les fuites de données se multiplient en France. Ces dernières semaines, plusieurs violations d’envergure ont accentué la menace qui pèse déjà sur les Français. On se souviendra notamment du piratage de Cegedim Santé, qui s’est soldé par la fuite des informations médicales concernant 11 à 15 millions de Français, du hack de Florajet, ou encore de la cyberattaque massive contre le fichier national des comptes bancaires (FICOBA). Ce piratage historique s’est terminé par la compromission des données de 1,2 million de comptes bancaires.
À lire aussi : Piratage du fichier national des comptes bancaires – le fisc en dit plus sur la cyberattaque
« Une surcouche de bluff » sur les fuites de données
En dépit des violations à répétition, Vincent Strubel, le patron de l’Agence nationale de la sécurité des systèmes d’information (Anssi), cherche à dédramatiser la situation. Interrogé par Le Parisien, il estime qu’il faut « prendre du recul face aux réactions à chaud » et qu’il y a « une surcouche de bluff » de la part des cybercriminels. Le dirigeante pointe du doigt les « revendications fallacieuses ». Sur l’année 2025, l’Anssi explique d’ailleurs avoir eu vent de 1 366 « incidents » de cybersécurité en 2025 en France, soit autant qu’en 2024. Concernant spécifiquement les fuites de données, « nous avons eu 460 signalements qui sont devenus 196 incidents avérés mais nous n’avons pu confirmer la véracité que de 80 d’entre eux ».
On ne peut nier que de nombreux cybercriminels racontent tout et n’importe quoi sur des marchés noirs, comme l’incontournable BreachForums, dans l’espoir de se mettre en avant. Les allégations fumeuses et les exagérations font partie prenante de l’économie criminelle. Elles permettent souvent aux cybercriminels de revoir à la hausse le prix de leurs répertoires compromis. Il faut aussi composer avec la mise en avant de données anciennes, déjà compromises depuis longtemps, mais agrégées avec d’autres informations. De facto, il est parfois difficile de trier les revendications de piratage sérieuses des contenus mensongers. De ce point de vue-là, on ne peut qu’être d’accord avec Vincent Strubel.
Néanmoins, les chiffres avancés par des chercheurs sérieux montrent bien que la France est actuellement noyée sous les fuites de données. Une étude de Surfshark indique que 40,3 millions de comptes de Français ont été piratés l’an dernier. La France s’est ainsi hissée à la seconde place des pays les plus touchés au monde, juste derrière les États-Unis. La France se distingue également avec « une densité de violations 12 fois supérieure à la moyenne mondiale ». En prenant en compte le nombre de comptes compromis rapporté à la population du pays, la France s’impose comme le pays le plus piraté au monde. Les chercheurs du LiveSOC d’Inetum abondent dans le même sens. Dans une étude récente partagée avec 01net, ils assurent que « la France figure parmi les trois pays les plus ciblés au monde, aux côtés des États-Unis et du Royaume-Uni ».
À lire aussi : Nouvelle fuite chez Mondial Relay – des « données personnelles et logistiques » ont été piratées
L’État « en fait assez »
Interrogé sur le fait que la France soit devenue une cible de choix pour les pirates, le patron de l’Anssi a pourtant estimé que l’intégralité de l’Occident est dans le même bateau. Il y en a « partout dans le monde occidental et il ne faut pas se sentir impuissants », souligne Vincent Strubel. Le responsable admet néanmoins que les « petits cybercriminels » sont désormais en mesure de lancer des cyberattaques reposant « des e-mails plus soignés pour cibler plus précisément des employés qui ont des droits d’accès ». C’est, selon lui, ce qui explique la multiplication des vols de données. Entre les lignes, il laisse entendre que c’est l’essor de l’IA générative qui permet à des hackers sans grande prétention d’orchestrer des attaques autrefois réservées à des « acteurs de niveau étatique ».
Pour Vincent Strubel, l’État français « en fait assez » pour lutter contre les fuites de données et les vols d’informations sensibles. En dépit des vols de données à répétition qui ont frappé des services publics, le patron de l’Anssi affirme que l’État n’est pas en mesure d’en faire plus.
« Son rôle est de traiter la menace du haut du spectre avec les attaquants d’autres États. Il met aussi en place des législations pour protéger et alerter des risques », déclare Vincent Strubel.
Il rappelle aussi que l’État a fait « preuve de transparence lors de plusieurs attaques contre ses services », y compris lors du hack du ministère de l’Intérieur. Lors de cette attaque, que la place Beauvau qualifie de « très grave », les pirates ont pu consulter des fichiers de police hautement sensibles, comme le TAJ (Traitement des antécédents judiciaires) et le FPR (Fichier des personnes recherchées). Les enquêteurs du ministère ont établi qu’une centaine de fiches issues du TAJ ont été discrètement exfiltrées par les cybercriminels.
On rappellera que le piratage a été rendu possible par une négligence de cybersécurité hallucinante. En effet, tous les comptes permettant de se connecter à des boîtes mail de la Police nationale n’étaient pas sécurisés par un système de double authentification. Avec des identifiants compromis, les pirates ont pu accéder aux messageries. Dans les messages échangés, ils ont découvert des mots de passe en clair, offrant un accès à des plateformes sensibles. C’est une seconde négligence de taille. En d’autres termes, les cybercriminels ont profité de deux négligences majeures pour arriver à leurs fins.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Le Parisien