ANTS, plateforme e-campus de la Police nationale, Métropole Aix-Marseille-Provence. En quelques jours, trois alertes différentes, trois contextes différents, mais un même réflexe institutionnel. Informer tardivement, recommander la vigilance, renvoyer chacun à sa boîte mail, à ses mots de passe et à son sang-froid. C’est toujours le même scénario, et toujours la même charge reportée sur la victime. Et ce n’est pas normal.
Le cas de l’ANTS est révélateur. L’agence a confirmé qu’un incident détecté le 15 avril pouvait concerner des données d’identification issues des comptes particuliers et professionnels du portail, dont identifiant de connexion, nom, prénoms, adresse électronique, date de naissance, identifiant unique du compte et, selon les cas, adresse postale, lieu de naissance ou téléphone. L’administration précise que les pièces jointes transmises dans le cadre des démarches ne sont pas concernées. Très bien. Mais le message adressé aux usagers, lui, reste minimaliste. Pas de mode d’emploi robuste, pas de bascule visible vers un durcissement immédiat des accès, pas de doctrine claire compréhensible en trente secondes par un citoyen ordinaire. L’alerte tient en substance dans un “restez vigilants”. C’est faible. Très faible.
Même sensation côté Police nationale. La plateforme e-campus, gérée par un prestataire externe, a été compromise les 17 et 18 mars. La DGPN a confirmé qu’un acteur malveillant avait consulté des données d’identification de policiers actifs, d’agents administratifs et de contractuels. Selon plusieurs sources, plus de 170 000 profils seraient concernés ou potentiellement exposés. Là encore, le problème c’est le délai, l’asymétrie d’information et le caractère défensif de la communication. Un mois peut suffire à transformer des données “banales” en carburant pour du phishing ciblé, du recoupement et de l’ingénierie sociale.
Et puis il y a le cas de la Métropole Aix-Marseille-Provence, dont le courrier aux usagers dit tout haut ce que beaucoup d’administrations laissent entendre à demi-mot. Votre adresse mail a été publiée frauduleusement. Il existe un risque de divulgation de mot de passe. Vous ne pouvez plus accéder à certaines applications avant renouvellement. Si vous avez réutilisé ce mot de passe ailleurs, changez-le aussi. En clair, la fuite a eu lieu chez eux, mais la corvée de remédiation commence chez vous. Et pas à moitié. Tri des comptes, rotation des secrets, vérification des réutilisations, surveillance des mails entrants, soupçon permanent face à chaque sollicitation. La facture opérationnelle est envoyée à l’usager.
Le sous-traitant n’est plus une circonstance atténuante
Le mot “sous-traitant” revient partout comme une formule d’excuse prête à l’emploi. Sauf que ça marche plus. La CNIL rappelle noir sur blanc que les traitements réalisés par un sous-traitant doivent présenter des garanties suffisantes en matière de sécurité, que le responsable du traitement doit connaître le détail des mesures mises en œuvre, encadrer contractuellement la notification d’incident, prévoir des audits et considérer toute la chaîne de sous-traitance, pas seulement le premier maillon. Autrement dit, l’argument du prestataire n’est pas une sortie. C’est précisément l’endroit où la responsabilité devait être exercée avant l’incident.
Et notifier la CNIL ne règle rien pour la personne exposée. L’organisme rappelle que l’information des personnes doit leur permettre de limiter les conséquences, et recommande de privilégier une surveillance automatique adaptée des journaux et des alertes. Elle souligne aussi que la notification d’une violation ne dédouane pas le responsable de ses autres obligations. Donc non, envoyer un mail d’alerte puis rediriger vers Cybermalveillance.gouv.fr ne constitue pas une réponse sérieuse. C’est une pirouette administrative (voire un aveu d’impuissance), pas une remédiation.
Quand les autorités vont-elles enfin traiter ces fuites comme un problème systémique ?
À partir de combien de fuites l’État, les collectivités et leurs opérateurs arrêteront-ils de gérer cela comme un simple exercice de communication réglementaire ? Car aujourd’hui le message implicite est grotesque. “Nous avons laissé vos données fuiter, nous avons prévenu la CNIL, maintenant surveillez vos mails, nettoyez vos accès, changez vos secrets, vérifiez vos usages passés, et surtout ne vous faites pas piéger”. En gros, vous êtes prévenu, débrouillez-vous !
Que faudrait-il alors ?
D’abord, mettre en place une procédure nationale de remédiation post-fuite, standardisée pour tous les services publics. Pas un mail flou. Un parcours unique, lisible, avec niveau de gravité, nature exacte des données exposées, liste des services impactés, actions obligatoires, actions recommandées, délais, contacts et exemples concrets de tentatives de fraude attendues.
Ensuite, instaurer un durcissement technique automatique dès qu’un incident touche des identifiants ou des données d’accès. Réinitialisation forcée, invalidation des sessions, authentification multifacteur activée par défaut quand c’est possible, surveillance renforcée des connexions inhabituelles, détection du credential stuffing, journalisation réellement exploitée, etc. La CNIL dit elle-même qu’il faut privilégier la surveillance automatique, pas faire de l’utilisateur le capteur principal.
Enfin, imposer une discipline beaucoup plus dure sur les prestataires. Audit externe régulier, exposition des environnements de développement contrôlée, preuves de correction, clauses de sécurité opposables, tests d’intrusion, cartographie de la sous-traitance réelle, y compris des sous-traitants de sous-traitants. Car la surface d’attaque est devenue tentaculaire.
En clair, il faut cesser de laisser les citoyens et les agents seuls face à un problème dont ils ne sont pas responsables. Une fuite publique devrait ouvrir automatiquement droit à un accompagnement opérationnel. A savoir une assistance humaine, et pas seulement un lien web. Une aide au changement d’identifiants, une vérification guidée des comptes réutilisés, des messages d’alerte normalisés et un support spécifique pour les populations plus exposées, comme les policiers.
Tant que la réponse restera “nous avons été victimes, soyez vigilants”, les autorités ne prendront pas le sujet au sérieux. Elles géreront l’après-coup, la conformité, la réputation. Pas la protection réelle. Et pendant ce temps, le citoyen continuera à faire le sale boulot.
