La sanction est tombée : France Travail devra payer une amende administrative de 5 millions d'euros pour ses négligences en matière de cybersécurité. La CNIL a pris sa décisionpointant l’incapacité de l’opérateur public à protéger les données personnelles de millions de demandeurs d’emploi lors de la cyberattaque subie début 2024.
La CNIL ne s'est pas contentée d'une sanction financière. Le régulateur a également accompagné sa décision d'une injonction contraignante : France Travail doit justifier la mise en œuvre des mesures correctives selon un calendrier strict, sous peine de devoir payer une astreinte supplémentaire de 5 000 euros par jour de retard.
Les failles de sécurité qui ont permis le piratage
L'enquête de la CNIL a mis en évidence une série de défaillances techniques graves qui ont facilité la tâche des pirates. Ces derniers ont utilisé des techniques d'ingénierie sociale pour usurper les comptes des conseillers de Cap Emploi, ouvrant ainsi les portes du système d'information de France Travail.
La CNIL a identifié trois faiblesses majeures ayant rendu possible cette intrusion :
- Authentification faible : les méthodes de connexion des conseillers Cap Emploi manquaient de robustesse.
- Manque de surveillance : le système de journalisation était insuffisant pour identifier un comportement anormal ou suspect.
- Autorisations excessives : les droits d'accès étaient trop larges, permettant aux conseillers (et donc aux pirates) de consulter les dossiers de personnes qu'ils ne suivaient même pas.
Données sensibles exposées sur 20 ans
L'ampleur de la fuite a pesé lourd dans le calcul de la sanction. Les pirates ont pu accéder aux informations de toutes les personnes actuellement enregistrées ou enregistrées au cours des 20 dernières années. Le butin comprend des numéros de sécurité sociale, des adresses postales et électroniques, ainsi que des numéros de téléphone.
Seule petite consolation pour les victimes : les dossiers complets et les données de santé n'ont pas été compromises. La CNIL a également souligné une circonstance aggravante, à savoir que France Travail avait néanmoins identifié les mesures de sécurité nécessaires dans ses propres analyses de risques, mais ne les avait jamais déployées concrètement.
