La CNIL inflige une amende record à l’opérateur public après des failles majeures ayant exposé des données personnelles sensibles.
France Travail épinglé pour insuffisances en sécurité informatique
France Travail doit désormais s’acquitter d’une amende administrative de 5 millions d’euros suite à ses défaillances en matière de cybersécurité. La CNIL a rendu sa décision après avoir constaté que l’organisation n’avait pas su protéger les données personnelles de millions de demandeurs d’emploi lors de la cyberattaque survenue début 2024.
Au-delà de la sanction financière, la CNIL impose également à France Travail une obligation stricte de mise en conformité. L’établissement doit mettre en œuvre des mesures correctives selon un calendrier précis, sous peine de s’exposer à une astreinte journalière de 5 000 euros en cas de retard.
Des failles techniques exploitées par les pirates
L’enquête menée par le régulateur a révélé plusieurs manquements graves ayant facilité l’intrusion. Les cybercriminels ont notamment recouru à des techniques d’ingénierie sociale, ciblant les comptes de conseillers Cap Emploi pour accéder au système d’information de France Travail.
Trois vulnérabilités principales ont été mises en évidence :
Authentification insuffisante : les mécanismes de connexion des conseillers étaient trop faibles pour résister à une attaque ciblée.
Surveillance lacunaire : le système de journalisation ne permettait pas de détecter les comportements anormaux.
Droits d’accès trop larges : des conseillers pouvaient consulter des dossiers de personnes qu’ils ne suivaient pas, ouvrant la porte à une exploitation malveillante.
A lire aussi > Cyberattaque contre France Travail : plus de 31 000 demandeurs d’emploi touchés, êtes-vous concerné ?
Une fuite massive de données personnelles
L’ampleur de l’attaque a été un facteur aggravant dans la décision de la CNIL. Les pirates ont pu accéder aux informations de tous les inscrits actuels et passés, couvrant près de vingt ans de données. Les informations compromises incluent les numéros de sécurité sociale, les adresses postales et les e-mails, ainsi que les numéros de téléphone.
Heureusement, les données médicales et les dossiers complets n’ont pas été exposés. Néanmoins, la CNIL a relevé une circonstance aggravante. France Travail avait pourtant identifié ces risques dans ses propres analyses internes, mais n’avait jamais appliqué concrètement les mesures de sécurité nécessaires.
Source : KultureGeek
