Après un piratage, la Cnil inflige 5 M€ d'amende à France Travail

A la suite de Free, c'est au tour de France Travail d'être épinglé par la Cnil après une cyberattaque en mars 2024 qui a compromis plus de 36 millions de comptes. Le régulateur pointe les insuffisances des mesures de sécurité prises par l'organisme public et le sanctionne à 5 M€ d'amende.

Le couperet est tombé pour France Travail dans l’affaire du piratage de mars 2024. La Cnil vient en effet de condamner l’organisme public à une amende de 5 M€ pour manquement à l’obligation d’assurer la sécurité des données à caractère personnel. Pour rappel, France Travail avait lancé une alerte le 13 mars 2024 sur la compromission de plus de 36 millions de comptes à la suite d’une cyberattaque. « Les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr », avait-il-expliqué.

Dans son enquête, la Cnil constate que les cybercriminels sont parvenus à s’introduire dans le SI de France Travail en s’appuyant sur des techniques d’ingénierie sociale sur des employés de Cap Emploi (structure accompagnant le suivi et le maintien dans l’emploi des personnes en situation de handicap). Les pirates ont ainsi « exfiltré de cette manière 25 giga octets (Go) de données concernant 36 820 828 personnes », rapporte le régulateur. Les informations dérobées comprennent « nom d’usage, nom de naissance, prénom, sexe, date de naissance, NIR, adresse, code postal, numéro de téléphone, adresse électronique, adresse géographique (région d’appartenance), référence individuelle, statut de demandeur d’emploi (inscrit, radié ou identifié), date de début et de fin d’inscription),… ».

Authentification et journalisation insuffisante

La formation restreinte de la Cnil estime que les mesures de sécurité de France Travail n’ont pas été suffisantes. Sur l’authentification des comptes des conseillers de Cap Emploi, elle tacle le seuil du blocage du compte fixé à 50 tentatives infructueuses. Un niveau jugé « insuffisamment robuste au regard des recommandations et de l’état de l’art » et de la volumétrie et de la sensibilité des données. Elle préconisait un blocage après 10 tentatives infructueuses. France Travail a indiqué revoir sa politique d’authentification au 1^er trimestre 2026 avec « un mot de passe de 12 caractères, avec au minimum 3 types de caractères différents (majuscule, minuscule, chiffre ou caractère spécial), ainsi qu’un abaissement à 10 du seuil de tentatives de connexion infructueuses en 5 minutes avant blocage du compte ».Autre point, la Cnil regrette l’absence d’authentification multifacteur. Sa mise en place était prévue pour les salariés de Cap Emploi en 2023, mais elle a été repoussée finalement en 2024. Le régulateur observe que le MFA « aurait rendu extrêmement difficile l’authentification des attaquants au système d’information de France Travail ».

Enfin, la Cnil constate des manquements dans le suivi des journaux. Elle souligne que le cybercriminels « ont eu un comportement anormal, ne correspondant pas aux habitudes de travail des salariés ». Et de citer l’exemple du « mardi 6 février 2024, 9 Go de données ont été extraites, ce qui correspondrait à plus de 13 millions de fiches pour un seul conseiller en une seule journée ». Pourtant aucune alerte n’a été donnée par le système de journalisation ou par le SOC. Face à tous ces manquements, la Cnil inflige donc une amende de 5 M€ et demande à France Travail de justifier les mesures correctrices mises en œuvre sous peine d’une astreinte de 5 000 euros par jour de retard. France Travail a annoncé qu'il ne déposerait pas de recours contre la décision qu'elle juge sévère. Le régulateur poursuit son travail de sanction à la suite d'une cyberattaque après avoir condamné Free à 22 M€ d’amende au début janvier.