Après une fin d’année 2025 marquée par le piratage du ministère de l’Intérieur et celui des Sports, l’année 2026 démarre par un incident de sécurité important pour l’Urssaf. L’organisme a en effet publié un communiqué de presse faisant état d’un « accès frauduleux à l’API du service de déclaration préalable à l’embauche ». Cet accès s’est déroulé via un compte partenaire habilité dont les identifiants ont été compromis lors d’un piratage antérieur.

Le ou les cybercriminels ont pu consulter ou extraire les données personnelles de 12 millions de salariés ayant fait l’objet d’une embauche depuis moins de 3 ans. Les informations comprennent : nom, prénom, date de naissance, Siret de l’employeur, date d’embauche... L’Urssaf précise que certaines données comme l'email, le numéro de sécurité sociale, l’adresse postale, le numéro de téléphone ou des coordonnées bancaires ne sont pas concernées par la fuite de données.

Vigilance sur de futures campagnes de phishing

L'Urssaf souligne avoir pris les mesures nécessaires en suspendant les accès du compte compromis et en renforçant les habilitations de ses partenaires. Une notification à la Cnil a été déposée, ainsi qu’une plainte auprès du Procureur de la République. Cet incident intervient quelques jours après le piratage de la plateforme Hubee opérée par la Dinum pour l’échange de documents administratifs de plusieurs organismes (Dila, Direction générale de la santé ou la CNAF). Les attaquants ont réussi à extraire 70 000 dossiers représentants 160 000 documents contenant des données personnelles.

Comme souvent dans ces affaires-là, l’appel à la vigilance est de mise. Les cybercriminels, fort de ces bases de données, peuvent s’en servir pour des campagnes de phishing. L’Urssaf rappelle donc de ne jamais communiquer ses identifiants et ses mots de passe ou des coordonnées bancaires par courriel ou par téléphone.