par Raniya SAID MANSOIB, étudiante du Master 2 Droit des communications électroniques
Au cours de cette dernière semaine, plusieurs services publics français ont été confrontés à des cyberattaques. En effet, cela a d’abord concerné le ministère de l’intérieur (12/12/25) , puis la CAF (17/12/25), puis le ministère des sports (19/12/25) et, plus récemment le groupe La Poste (22/12/25). Ces événements ont touché des systèmes d’information, soit des ensembles d’infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique des données. Ces systèmes sont essentiels à la gestion des services publics et au traitement des données des usagers. A noter que ces systèmes d’informations contenaient des données mixtes (des données publiques et des données à caractère personnelles).
Ces incidents s’inscrivent dans un contexte de transformation numérique de l’État, initiée depuis plusieurs années. La modernisation des services publics et la dématérialisation des démarches administratives ont conduit à une dépendance croissante à ces systèmes d’information. Cette évolution accroît à la fois l’efficacité des services et l’exposition aux risques liés à la cybersécurité.
Les cyberattaques récentes contre l’administration française marquent-elles un tournant dans la prise de conscience des vulnérabilités numériques des services publics ?
Une lutte difficile contre les sites web malveillants
Les cyberattaques visant le ministère de l’Intérieur et la CAF ont été revendiquées par un hacker se faisant appeler Indra. Les fichiers volés ont été diffusés sur un forum dénommé BreachForums. Ce type de plateforme peut exister sous la forme de sites miroirs accessibles sur le clearnet (partie visible d’Internet qui est indexé par les moteurs de recherche). Les sites miroirs sont des copies d’un site original, hébergées sous des domaines alternatifs, qui permettent de maintenir l’accès aux contenus lorsque le site principal est supprimé. Ils restent toutefois exposés aux mesures de blocage et aux saisies.
Le blocage des sites illicites s’appuie sur plusieurs bases juridiques. L’article 6 de la LCEN autorise le président du tribunal judiciaire à ordonner aux fournisseurs d’accès Internet le blocage d’un site afin de prévenir ou faire cesser un dommage, cette disposition visant également les sites miroirs qui reproduisent un contenu déjà bloqué (6-III (blocage général) et 6-IV (miroirs). L’article 12 de la LCEN renforce ce dispositif en encadrant la coopération entre fournisseurs d’accès et autorités de police, notamment contre la collecte frauduleuse de données. Dans ce cadre, les sites peuvent être bloqués par les fournisseurs d’accès Internet sur simple demande de l’Office anti-cybercriminalité, sans intervention d’un juge judiciaire ni d’une autre autorité administrative.
D’autre part, lorsqu’une menace pour la défense et la sécurité nationale découle de l’exploitation d’un nom de domaine, l’ANSSI peut demander des mesures de blocage ou de redirection, conformément à l’article L. 2321-2-3 du code de la défense. Depuis l’arrestation des administrateurs (Juin 2025), le forum a migré vers le Dark Web, accessible via Tor et les sites en .onion. Ce réseau utilise un chiffrement en oignon : chaque relais ne déchiffre qu’une seule couche, garantissant l’anonymat des échanges.
Des dispositifs juridiques de protection face aux vulnérabilités numériques
Les responsables publics doivent notifier la CNIL sous 72 heures toute violation de données présentant un risque élevé pour les droits des personnes, conformément à l’article 33 du RGPD, et informer directement les personnes concernées selon l’article 34. Laurent Nuñez a confirmé avoir saisi la CNIL et lancé une enquête administrative, attribuant l’intrusion à “des imprudences” au sein du ministère.
En outre, l’article L.1332-1 du Code de la défense établit les critères permettant de qualifier une entité d’Opérateur d’Importance Vitale sans en dresser une liste exhaustive, chaque entité étant ensuite classée selon son secteur d’activité et son importance pour la sécurité nationale, la société ou l’économie. Le ministère de l’Intérieur est classé OIV pour la gestion de crise et la continuité de l’État, tandis que La Poste l’est pour ses activités de transport et de logistique. La CAF n’est pas classée OIV et relève uniquement du RGPD. Elle est considérée comme une entité essentielle sous NIS2 (directive UE 2022/2555, transposée en France entre 2024 et 2027). Une entité essentielle est une organisation d’un secteur critique (énergie, transports, santé, finance, eau, numérique…) dont une cyberattaque pourrait gravement perturber la sécurité publique, la société ou l’économie.
Les OIV doivent respecter des obligations renforcées définies par le Premier Ministre et l’ANSSI (Code de la défense Chapitre II : Protection des installations d’importance vitale) , incluant audits, plans de sécurité opérationnelle et mesures de continuité, allant au-delà du RGPD et de la directive NIS2.
Des mesures techniques et organisationnelles pour sécuriser les services numériques
La directive NIS2, impose aux OIV comme le ministère de l’Intérieur ou La Poste diverses obligations couvrant notamment les vulnérabilités zero-day (Une faille non résolue est exploitée par les hackers via un logiciel « exploit » qui tire profit de l’effet de surprise).
Toutefois, la sécurisation des systèmes d’information ne saurait se limiter à la gestion des vulnérabilités techniques, mais implique une refonte plus globale des architectures de sécurité. L’architecture zero-trust repose sur le principe « ne jamais faire confiance, toujours vérifier ». Elle impose une authentification continue via MFA (Multi-Factor Authentication). Ces mesures permettent de limiter l’impact d’intrusions, comme celles survenues après la compromission des messageries par Indra.
Néanmoins, l’efficacité de ces dispositifs techniques demeure étroitement liée au facteur humain, identifié comme un vecteur majeur de vulnérabilité. L’ANSSI impose la sensibilisation aux risques de phishing et aux bonnes pratiques de sécurité, visant à former 80% des agents d’ici 2027 avec des simulations annuelles pour réduire les erreurs humaines, principale cause de failles dans les systèmes d’information.
Une extension de l’accès aux données sous tension
Ces cyberattaques ravivent des interrogations majeures sur la souveraineté numérique de l’État, particulièrement dans un contexte de renforcement des dispositifs de surveillance et de lutte contre la fraude. Le Sénat a récemment autorisé France Travail à accéder à certaines données personnelles pour mieux détecter les fraudes sociales. Or, la multiplication des fuites de données observées cette semaine rend cette extension d’accès particulièrement préoccupante, révélant la vulnérabilité persistante des systèmes publics face aux menaces pesant sur les systèmes d’information.
Face aux interrogations persistantes sur le stockage des données sensibles sur des infrastructures étrangères, les initiatives comme France 2030 pour développer un cloud souverain sécurisé et européen apparaissent nécessaires pour garantir l’intégrité et la confidentialité des données.
Pour conclure, les acteurs publics et privés doivent faire de la sécurité des données une priorité absolue. Les cyberattaques révèlent la vulnérabilité des systèmes d’information et une possible négligence. La déclaration du ministre de l’Intérieur évoquant des “imprudences” est particulièrement alarmante pour un ministère régalien traitant des données personnelles voir sensibles (Fichiers TAJ et FPR). Dans un contexte où les données constituent une ressource stratégique, leur sécurisation demeure indispensable pour garantir l’efficacité de l’action publique et préserver la confiance des citoyens, soulevant également des questions sur la responsabilité de l’État face à ces incidents.
*****
Sources :
ANSSI – CyberDico / CERTFR-2025-CTI-003 / Directive NIS 2 / FAQ : Systèmes d’information d’importance vitale (SAIV) / Plan stratégique 2025-2027 de l’ANSSI
Secrétariat général pour la numérisation de l’État – Numérique et État : Stratégie
Ministère de l’Intérieur – Au cœur de la lutte contre la cybercriminalité
SGDSN – Plaquette SAIV
MonEspaceNIS2 – Obligations
CNIL – Sécurité : Utilisez l’authentification multifacteur pour vos comptes en ligne
Conseil d’État – Avis sur un projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques et à la cybersécurité
***
Le Goffic, Caroline. (2025). Actualisation d’une injonction de blocage visant une bibliothèque numérique clandestine. Dalloz IP/IT, 2025, n° 42.
Sénat. (2024). Rapport d’information n° 393 (2023-2024) : La cybermenace, un défi pour la résilience de la Nation
***
Le Monde. (2025, 17 décembre). Ce que l’on sait du piratage du ministère de l’Intérieur
Franceinfo. (2025). Le ministère des Sports victime d’une cyberattaque : 3,5 millions de foyers concernés
France 24. (2025, 22 décembre). Cyberattaque : La Poste victime d’attaque informatique, services en ligne inaccessibles, colis et courriers de Noël
Franceinfo. (2025). Cyberattaque au ministère de l’Intérieur : « Un certain nombre de fichiers importants pour nous a pu être consulté », confirme le ministre de l’Intérieur
RTL. (2025, 18 décembre). Un « cadeau de Noël » à la France : des millions de données d’allocataires de la CAF piratées, le hacker du ministère de l’Intérieur revendique la fuite
BFMTV. (2025, 18 décembre). Le pirate du ministère de l’Intérieur revendique un hack de la CAF, la Caisse nationale nie toute attaque et confirme la sécurité de son système d’information
Le Monde. (2025, 19 décembre). Le ministère des Sports, de la Jeunesse et de la Vie associative victime d’une cyberattaque
Le Monde. (2025, 22 décembre). Coup dur pour La Poste, bloquée juste avant Noël par une cyberattaque
Libération. (2025, 22 décembre). Distribution des courriers perturbée, suivi de colis en ligne indisponible : ce que l’on sait de la cyberattaque à La Poste
Le Parisien. (2025, 19 décembre). C’est quoi BreachForums, la plateforme où se retrouvent les données des sites cyberattaqués ?
Le Parisien. (2025, 25 juin). La police interpelle cinq hackers français de haut vol derrière un célèbre forum de vol de données
Radio France. (2025). Cyberattaque au ministère de l’Intérieur : le hacker a consulté des fichiers importants, dit Laurent Nuñez
***
OSINT Training – Mise en contexte des renseignements de sources ouvertes (OSINT) : e-Clearnet, le Deep Web et le Dark Web
ISO – Sécurité de l’information : Dark Web
Microsoft – Qu’est-ce que l’architecture Zero Trust ?
IBM – Zero-day