Fuites de données : l’Anssi parle de « bluff » alors que la France est massivement ciblée

Il y a quelque chose de presque confortable dans l’art de relativiser. Face à une réalité désagréable, on peut toujours trouver des raisons de tempérer, de nuancer ou de dédramatiser. Vincent Strubel, le patron de l’Agence nationale de la sécurité des systèmes d’information, semble avoir élevé cette posture au rang de méthode de communication. Interrogé par Le Parisien sur l’explosion des fuites de données en France, il a choisi de pointer du doigt le « bluff » des cybercriminels plutôt que d’interroger les défaillances de l’État qu’il est censé conseiller.

Sur le fond, il n’a pas tort de signaler que les marchés noirs du cybercrime, au premier rang desquels BreachForums, fourmillent d’allégations exagérées, de données recyclées et de revendications mensongères destinées à faire monter les enchères. Les pirates ont eux aussi leurs récits de propagande. Cette prudence méthodologique est légitime, et il serait malhonnête de le lui reprocher.

Mais la question n’est pas là. Elle réside dans ce que les chiffres sérieux révèlent, indépendamment des fanfaronnades des forums clandestins. Une étude de Surfshark indique que 40,3 millions de comptes de Français ont été compromis en 2024. La France s’est hissée à la deuxième place mondiale des pays les plus touchés, juste derrière les États-Unis, et affiche une densité de violations douze fois supérieure à la moyenne mondiale. Les chercheurs du LiveSOC d’Inetum confirment que la France figure parmi les trois pays les plus ciblés au monde. Ce n’est pas du bluff : c’est la radiographie alarmante d’un pays dont les défenses numériques sont structurellement insuffisantes.

« Son rôle est de traiter la menace du haut du spectre avec les attaquants d’autres États. Il met aussi en place des législations pour protéger et alerter des risques », déclare Vincent Strubel.

Cette définition du rôle de l’État est révélatrice. Elle dessine un État stratège, occupé aux grands équilibres géopolitiques, qui délèguerait implicitement la sécurité numérique du quotidien à la responsabilité individuelle ou au secteur privé. C’est une vision cohérente en soi. Mais elle entre en contradiction directe avec la réalité d’un État français qui gère lui-même des millions de données sensibles sur ses propres citoyens, données médicales, fiscales et judiciaires, et qui les protège, comme les faits le démontrent, avec une négligence parfois stupéfiante.

Quand l’État est lui-même le maillon faible

Le cas du piratage du ministère de l’Intérieur est, à cet égard, édifiant. Les pirates ont pu accéder aux messageries de la Police nationale parce que les comptes n’étaient tout simplement pas protégés par une double authentification. Une fois dans les boîtes mail, ils ont découvert des mots de passe écrits en clair dans des échanges internes. Deux négligences élémentaires ont suffi à permettre l’exfiltration de fiches issues du Traitement des antécédents judiciaires (TAJ) et du Fichier des personnes recherchées (FPR). Des fichiers de police parmi les plus sensibles qui soient. Ce n’est pas une attaque sophistiquée venue d’un État ennemi : c’est une intrusion rendue possible par un manquement aux règles de sécurité les plus basiques.

Vincent Strubel reconnaît lui-même que les « petits cybercriminels » sont désormais capables, grâce à l’IA générative notamment, de mener des attaques autrefois réservées à des acteurs étatiques. C’est précisément ce qui rend l’argument du « bluff » si problématique : si la menace s’est démocratisée, si n’importe quel groupe criminel de second rang peut désormais cibler efficacement des institutions publiques, alors le niveau d’exigence en matière de cyberhygiène devrait être considérablement relevé. Or c’est exactement l’inverse que l’on constate, avec des mots de passe en clair dans des mails et une absence de double authentification dans des services régaliens.

Le patron de l’Anssi se félicite par ailleurs de la « transparence » de l’État lors de plusieurs attaques contre ses services. La transparence est une vertu, certes. Mais la transparence après coup ne remplace pas la prévention. Communiquer sur une attaque réussie n’est pas un gage de compétence : c’est au mieux un aveu d’échec assumé. On peut saluer qu’il n’y ait pas eu de dissimulation, ce qui est déjà mieux que dans beaucoup d’autres pays, sans pour autant y voir la preuve que « l’État en fait assez ».

La souveraineté numérique ne se décrète pas

Ce qui est en jeu derrière ces fuites à répétition, c’est une question de souveraineté concrète. Les données médicales de 11 à 15 millions de Français compromises via Cegedim Santé. Les informations bancaires de 1,2 million de comptes exfiltrées depuis le fichier FICOBA. Des fiches de police sensibles entre les mains de cybercriminels. Ce sont des pans entiers de la vie privée et de la sécurité nationale qui s’évaporent dans des circuits opaques, revendus sur des marchés souterrains et potentiellement exploités par des acteurs hostiles.

La France, qui se veut grande puissance et qui défend sa souveraineté industrielle et culturelle, doit aussi être une puissance qui protège les données de ses citoyens avec la rigueur que cela exige. L’écart entre le discours souverainiste affiché et la réalité des pratiques de sécurité numérique au sein même des administrations est un problème politique sérieux, pas une simple question technique à gérer en coulisses.

Dire que l’État « en fait assez » quand des fichiers judiciaires sont accessibles faute de double authentification, ce n’est pas de la dédramatisation : c’est de l’autosatisfaction. La France mérite mieux que des responsables publics qui gèrent leur communication de crise à coups de nuances sémantiques. Elle mérite des comptes et surtout des résultats.