En trois mois, plus de 90 millions de comptes ont été compromis en France. C'est la plus grande vague de cyberattaques de l'histoire du pays. Chaque incident a été traité isolément par les médias. Personne ne fait le total. Personne ne pose la question qui relie tous ces incidents : pourquoi le même vecteur d'attaque fonctionne à chaque fois ?
Le signal : cinq attaques majeures en 90 jours
| Cible | Données | Victimes |
|---|---|---|
| Cegedim | Dossiers patients | 15 M |
| FICOBA | Comptes bancaires | 1,2 M |
| URSSAF | Données sociales | 12 M |
| France Travail | Demandeurs emploi | 43 M* |
| La Poste | DDoS (service) | N/A |
* France Travail : fuite datée de 2024, ampleur révélée en 2026. Sources : franceinfo (Cegedim), Europe Infos (FICOBA).
Le total dépasse les 90 millions de lignes de données exposées, en comptant plus de 100 incidents recensés en janvier-février. Pour un pays de 68 millions d'habitants, cela signifie statistiquement que chaque Français a été touché au moins une fois.
Les preuves : un seul vecteur, répété partout
Le point commun entre Cegedim, FICOBA, France Travail et le ministère de l'Intérieur est le même : le vol d'identifiants d'un sous-traitant ou d'un employé ayant un accès légitime au système. Pas de faille zero-day sophistiquée. Pas de ransomware avancé. Juste un login et un mot de passe volés à quelqu'un qui avait la clé.
Pour FICOBA, un cybercriminel a utilisé les identifiants compromis d'un employé pour accéder à la base qui contient 300 millions d'entrées — tous les comptes bancaires ouverts en France. Pour Cegedim, le logiciel médical MLM utilisé par 3 800 médecins a été compromis par un accès applicatif anormal détecté fin 2025 mais révélé publiquement en février 2026.
C'est là que réside le problème structurel. Le rapport ANSSI 2025 le documente : 48 % des cyberattaques visent des PME et des sous-traitants, qui sont les maillons faibles de la chaîne. Les grands systèmes (Sécu, impôts, banques) sont correctement sécurisés. Mais leurs sous-traitants ne le sont pas.
Ce que vos données valent sur le darkweb
Les 15 millions de dossiers Cegedim ont été publiés sur le darkweb. Parmi eux, 164 000 contiennent des « données sensibles » — annotations médicales, allergies, traitements en cours. Ces données de santé se monnaient entre 50 et 250 euros pièce sur les marchés clandestins, car elles permettent des escroqueries ciblées : faux remboursements Sécu, arnaques carte Vitale, hameçonnage médical.
Les données bancaires FICOBA sont encore plus précieuses : elles contiennent les coordonnées complètes de comptes bancaires, exploitables pour des virements frauduleux ou de l'usurpation d'identité. Un compte bancaire complet se négocie entre 10 et 50 euros sur le darkweb — mais les 1,2 million de comptes FICOBA constituent un lot exceptionnel par sa taille.
Ce qui manque : une réponse coordonnée
Chaque fuite a fait l'objet d'un communiqué séparé. L'ANSSI a publié des alertes techniques. La CNIL a ouvert des enquêtes. Mais aucun plan national de réponse coordonnée n'a été annoncé.
Il n'existe pas de « tableau de bord » public des cyberattaques en France, contrairement aux États-Unis où le HHS publie un registre des fuites de données de santé en temps réel. Les Français découvrent les fuites au cas par cas, sans vision d'ensemble.
Le contexte géopolitique amplifie le risque. La guerre en Iran a généré une hausse des cyberattaques à motivation étatique. Les groupes liés à l'Iran et à la Russie multiplient les attaques DDoS et les tentatives d'intrusion contre les infrastructures critiques européennes. La France, en tant que membre de la coalition contre l'Iran, est une cible prioritaire.
Ce qui vient : se protéger soi-même
En l'absence de réponse nationale, la protection repose sur chaque individu. Trois mesures concrètes réduisent le risque d'exploitation de vos données compromises :
— Vérifier si vos données ont fuité sur haveibeenpwned.com (gratuit, référencé par l'ANSSI).
— Activer l'authentification à deux facteurs (2FA) sur tous vos comptes sensibles (banque, Sécu, impôts, email).
— Utiliser un mot de passe unique par service, géré par un gestionnaire de mots de passe.
Si vos données médicales Cegedim ou bancaires FICOBA sont dans les fuites, surveillez vos relevés bancaires et signalez toute anomalie à votre banque et à la plateforme Cybermalveillance.gouv.fr.
