Ecrire sur le Travail Social
Didier Dubasque
Rechercher
Fermer ce champ de recherche.

Cyberattaques des données personnelles : les administrations publiques sont-elles des passoires ?

Les récentes attaques informatiques visant nos organismes publics révèlent une vulnérabilité des données personnelles de millions de citoyens.  En effet, les données de 43 millions de personnes, inscrites à France Travail incluant des informations sensibles comme les numéros de sécurité sociale, ont été dérobées suite à une cyber-attaque. D’autres administrations connaissent le même sort et il est à craindre que la CAF soit elle aussi attaquée par des cybercriminels.  

L’affaire de France Travail n’est malheureusement pas un cas isolé :

  • En janvier 2023, les données de plus de 10.000 allocataires de la CAF de Gironde ont été exposées pendant près de deux ans sur un site web privé.  
  • En août 2023, une cyberattaque contre un prestataire de Pôle Emploi a entraîné le vol des données personnelles de 10 millions d’usagers, revendues sur le darknet. 
  • Et en février 2023, les données de 33 millions d’assurés sociaux ont été dérobées chez des gestionnaires de tiers payant. 

 

A Saint-Nazaire il faudra 2 ans pour revenir à un fonctionnement normal

Dans la ville où j’habite c’est pire ! Dans la nuit du 9 au 10 avril, les services de la ville et de l’agglomération de Saint-Nazaire ont été la cible d’une cyberattaque par un cryptovirusLe maire David Samzun et le directeur des systèmes d’information Didier Delaunois ont fait le point sur les conséquences de cette intrusion. Le virus a réussi à infecter un tiers des 450 serveurs de la ville et de l’agglomération, les rendant inutilisables. Comme le demande  l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), Le maire a refusé de payer la rançon demandée, préférant dit-il « financer de la solidarité ».  C’est argument un peu facile. Comme pour les autres administrations, il eut été plus important de financer des mesures apportant une sécurité suffisante.

Depuis, tous les ordinateurs sont à l’arrêt et le travail se fait « au papier, à la gomme et au crayon ». Le standard téléphonique de la ville  est hors service, les appels étant redirigés sur un numéro portable où un agent prend note des demandes.

Selon les experts, il faudra deux ans pour retrouver un niveau de service équivalent à avant l’attaque. Bien évidemment, une plainte a été déposée auprès du parquet de Paris spécialisé dans ce type de délinquance. L’ ANSSI a été sollicitée pour son expertise. Mais comment une telle institution peut-elle être aussi fragile face à la cyber-criminalité ?

Une crainte demeure sur une éventuelle fuite de données. Sur ce sujet, la mairie se montre d’une discrétion inquiétante. Il est fort possible qu’elle n’ait aucune vision sur ce qui s’est passé à ce sujet. Or cela pourrait se traduire par une mise en vente sur le darknet des données des habitants de la ville qui utilisent les services municipaux. Services sociaux inclus bien évidemment. Le maire a insisté sur la nécessité pour les usagers de changer leurs mots de passe. C’est le moins que l’on puisse faire. Mais qu’en est-il des données bancaires des administrés qui utilisent de multiples services ? Pour l’instant aucune information à ce sujet n’est donné

Autre risque repéré, la possible activation d’un « cheval de Troie ».  Bien que l’origine de l’attaque ne soit pas précisée, le contexte international et la volonté de déstabiliser les collectivités à l’approche des Jeux Olympiques sont évoqués. Cette cyberattaque s’inscrit dans une recrudescence de ce type d’intrusion. Le maire de Saint-Nazaire conclut que « c’est une nouvelle guerre » à laquelle les collectivités doivent faire face.

Les administrations savent elles protéger les données de leurs usagers?

Ces incidents répétés soulèvent de sérieuses questions sur la capacité des administrations publiques à protéger les données personnelles dont elles ont la charge. Pourtant, la loi Informatique et Libertés ainsi que le Règlement Général sur la Protection des Données (RGPD) leur imposent de « prévenir toute violation de données personnelles » et de mettre en place des processus de sécurité adaptés. 

Les organismes sociaux comme France Travail font partie des Opérateurs de Services Essentiels (OSE) soumis à des règles de sécurité renforcées, notamment issues de directives européennes transmises par l’ANSSIPourtant, les failles de sécurité persistent, comme en témoigne l’usurpation d’identité de conseillers Cap Emploi ayant permis d’accéder aux données de 43 millions de personnes. 

La responsabilité de France Travail dans cette affaire semble d’ailleurs être minimisée dans la communication officielle, Elle se présente comme une « victime » alors que le non-respect des recommandations de sécurité est clairement établi.

Le juriste Guillaume Champeau rappelle d’ailleurs que le fait de ne pas encadrer un traitement de données personnelles de mesures de sécurité suffisantes est puni par le Code pénal. Face à ces défaillances récurrentes, il est urgent que les administrations publiques, et en particulier celles manipulant des données sensibles, renforcent drastiquement la protection de ces informations. Les citoyens doivent pouvoir faire confiance dans la capacité de l’État à préserver la confidentialité de leurs données personnelles.

Les victimes de  fuites de données doivent se faire entendre

Du côté du vol des données de France Travail, les véritables victimes de cette cyberattaque sont les millions de demandeurs et anciens demandeurs d’emploi.  En effet il est établi que leurs  données personnelles ont été dérobées. Mais quel est leur degré d’information sur les recours possibles ? 

Le collectif « Changer de Cap », auquel je participe, appelle ces usagers à porter plainte pour forcer France Travail à assumer ses responsabilitésSur son site, la CNIL précise que France Travail informera individuellement les personnes concernées dans les jours à venir. Mais ce message pop-up sur leur espace personnel n’est clairement pas suffisant.

imagemessage pole emploi

Le message n’indique pas les possibilités de porter plainte pour faire valoir ses droits. Or c’est essentiel, car les véritables victimes ici sont les demandeurs d’emploi, qui n’ont pas choisi de confier leurs données à France Travail. Changer de Cap invite donc ces usagers à remplir le formulaire de « Lettre de plainte » en ligne mis à disposition par le ministère de l’Intérieur.  « Dans le champ ‘Je souhaite apporter les précisions ci-dessous’, il est possible d’indiquer que vous souhaitez des poursuites sur le fondement de l’article 226-17 du Code pénal, qui punit le fait de ne pas avoir encadré un traitement de données personnelles de mesures de sécurité suffisantes.

La responsabilité de France Travail semble bien établie. C’est bien leur manquement à la sécurisation de ces données qui a permis cette fuite massive. Le collectif rappelle aussi l’importance de conserver précieusement le message pop-up reçu, qui constitue un élément de preuve en cas d’usurpation d’identité.

Les personnes concernées doivent aussi rester extrêmement vigilantes face aux risques d’hameçonnage et de tentatives d’escroquerie dans les semaines à venir. Face à cette nouvelle faille de sécurité touchant des données sensibles, le collectif appelle une fois de plus les administrations à prendre la mesure de leurs responsabilités en matière de protection des données personnelles. Sans garanties suffisantes, la confiance des citoyens envers les services publics sera définitivement brisée.

La responsabilité de France Travail clairement établie par les syndicats

Les syndicalistes de la CGT DSI de France Travail (ex-Pôle Emploi) n’ont pas mâché leurs mots pour dénoncer les manquements de la direction en matière de cybersécurité, qui ont permis cette massive fuite de donnéesDans un email en date du 28 mars, le syndicat accuse la direction de France Travail d’être « la seule responsable » de cette cyberattaque, en raison de nombreux « manquements » et de son « laxisme » en matière de protection des systèmes d’information.

La CGT DSI reproche d’abord à France Travail son manque de transparence, qualifiant l' »usurpation d’identité » évoquée par l’organisme comme une simple « minimisation de sa responsabilité ». Selon le syndicat, il s’agit bien de l’exploitation d’une faille de sécurité du système d’information. Plus précisément, il rappelle qu’un rapport d’analyse de risques réalisé fin 2022 lors du rapprochement avec Cap Emploi avait pourtant identifié ce risque d’usurpation d’identité, avec un niveau d’alerte maximal.

La recommandation de mettre en place une authentification à deux facteurs n’a cependant jamais été suivie d’effet.« Il aura fallu une attaque d’ampleur jamais vue pour la mettre en place pour les salariés de Cap Emploi, en seulement une ou deux semaines ! », déplore le syndicat. Les syndicalistes dénoncent également le fait que les salariés de Cap Emploi disposaient d’autorisations d’accès non restreintes, contrairement aux préconisations.

Le syndicat rappelle que ce n’est pas la première fois que France Travail (ex-Pôle Emploi) est confronté à des incidents de sécurité.  Il précise qu’à chaque fois, il a alerté la direction sur les failles, sans que des mesures suffisantes ne soient prises. Aujourd’hui, la CGT DSI réclame l’application urgente de plusieurs mesures  renforcées, comme l’authentification à deux facteurs pour tous les salariés et partenaires.

Face à ces défaillances répétées, la responsabilité de France Travail dans cette fuite massive de données personnelles semble clairement établie. Les syndicats exigent que la direction assume pleinement ses responsabilités et applique sans délai les mesures de sécurité indispensables pour protéger les données des usagers. Les demandeurs d’emploi, eux ne disent rien et c’est fort regrettable.

 N’hésitez pas à apporter votre témoignage. Si vous êtes concerné(e) et intéressé(e) pour aller plus loin dans cette démarche de plainte contre France Travail, Changer de cap  vous invite à contacter son groupe de travail numérique par mail (coordination@changerdecap.net) avec en objet : « France Travail ».

Lire :

 

Photo yanalyayanalya sur Freepik

Partager

Articles liés :

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Catégories
Tous les sujets
Rechercher

Qui suis-je ?

Je suis actuellement codirecteur de collection « Politiques & Interventions Sociales » aux presses de l’EHESP. À ce titre, j’audite les projets de publication des auteurs qui composent ou rejoignent la collection.

Je suis aussi coanimateur de l’e-communauté « Inclusion Sociale » du CNFPT. (Agents de la fonction publique, n’hésitez pas nous rejoindre, l’inscription est gratuite)

Auteur de deux livres, j’ai été personne qualifiée au sein du Conseil Supérieur du Travail Social puis du Haut Conseil du Travail Social (HCTS). 

J’ai exercé pendant 29 ans au sein du Conseil Départemental de Loire-Atlantique et présidé de l’Association Nationale des Assistants de Service Social de 2002 à 2005  (puis vice-président de 2008 à 2011). 

Adhérent de l’ARIFTS, le centre de formation des travailleurs sociaux en Pays de Loire, et du collectif « Changer de Cap », mon objectif est de témoigner des réalités et pratiques de travail social et de tenter, à ma mesure, d’enrichir la réflexion et la connaissance professionnelle des travailleurs sociaux.

Recevez les derniers articles par mail

Saisissez votre adresse pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par e-mail.

Rejoignez les 6 941 autres abonnés