Piratages de données :  « On n’a pas été au rendez-vous depuis des années, on en paye la conséquence aujourd’hui »

La France a une fois encore été victime d’une cyberattaque massive. L’affaire a été révélée sur France 2 jeudi soir, avant d’être confirmée le lendemain par le ministère de la Santé. Les données administratives de 15 millions de Français ont fuité, au cours d’un piratage qui a ciblé fin 2025 Cegedim, un logiciel utilisé par les médecins. Environ 40 % des praticiens qui utilisent ce programme, soit environ 1500, auraient été visés, selon la société. Plus sensibles encore que les coordonnées, les annotations saisies par les médecins sur près de 170 000 patients, avec des indications très précises sur leur santé ou leur situation personnelle, se sont également retrouvées dans la nature.

Cet incident sérieux n’est malheureusement pas le premier et s’ajoute à une longue liste de violations de données et de failles de sécurité inquiétantes, ces derniers mois et semaines. La France est-elle devenue une passoire numérique ? La chronologie récente donne le tournis. « Il n’y a pas un jour sans qu’il n’y ait pas une attaque et que des tas de gens en soient victimes », soulève ce vendredi le président de la commission des affaires étrangères, de la défense et des forces armées, le sénateur Cédric Perrin (LR).

Le mois dernier, c’est l’Urssaf qui a constaté un accès frauduleux, avec une exposition potentielle de certaines données concernant 12 millions de salariés. Le même mois, c’est une consultation illégale du fichier national des comptes bancaires (Ficoba), comportant des informations sur les coordonnées bancaires, qui a été détectée. 1,2 millions de Français sont potentiellement concernés.

Des données de parlementaires dans la nature

En janvier, la Cnil (Commission nationale de l’informatique et des libertés) nous adressait une piqûre de rappel, en adressant une amende de 5 millions d’euros à l’opérateur France Travail, en raison de son système d’information défaillant. En 2024, une fuite de données avait exposé les informations personnelles de près de 36,8 millions de personnes.

Autre infiltration sensible qui remonte à décembre : des pirates ont extrait des fiches du fichier de traitement des antécédents judiciaires. Les administrations publiques sont loin d’être les seules visées. En novembre, Eurofiber France, un acteur central de la fibre et d’hébergement de données a reconnu avoir été victime d’une intrusion dans son système. Une véritable déferlante de piratages a aussi touché cet hiver les bases de données des fédérations sportives. Et parfois des organisations assez sensibles comme la Fédération nationale des chasseurs, ou à l’automne la Fédération française de tir sportif. Ces vols de données s’étaient traduits pour certains licenciés par des cambriolages ciblant des armes à feu.

Le Parlement lui-même n’a pas été épargné. La diffusion, au début du mois de données personnelles de certains députés ou fonctionnaires de l’Assemblée nationale avait secoué le Palais Bourbon. Yaël Braun-Pivet avait alors dénoncé des faits d’une « extrême gravité ».

« Il n’y a pas un jour sans qu’il n’y ait pas une attaque », alerte le président de la commission de la défense

La question est montée en puissance ces derniers jours au sein de la représentation nationale. Cédric Perrin a interpellé le gouvernement, pas plus tard que ce lors de la question d’actualité ce mercredi. « Ce n’est plus seulement un problème de cybersécurité, cela devient un défi de résilience lancé à toute la population », avait-il déclaré au micro.

En réponse, le ministère de l’Intérieur, Laurent Nuñez, a assuré que la « préoccupation » était bien « prise en compte au plus haut niveau » et que les différents ministères tiraient bien les conséquences des actes malveillants de ces derniers mois. « Le grand enseignement que l’on a tiré de ces événements, c’est de renforcer et d’aller encore plus loin dans la sécurisation de nos systèmes d’information », a insisté l’ancien préfet de police de Paris.

Il n’empêche, une forme de lassitude commence à gagner dans les rangs du Sénat, en particulier chez les parlementaires engagés sur ces questions de cybersécurité. Si Cédric Perrin se dit par exemple satisfait de la récente publication de la stratégie nationale de cybersécurité 2026-2030, il rappelle que cette dernière « reste encore à mettre en œuvre ». Le sénateur rappelle que la résistance des infrastructures doit aussi passer par des moyens budgétaires. Lors du projet de loi de finances pour 2025, le président de commission avait bataillé pour refuser des baisses de moyens à Viginum et à l’Anssi (Agence nationale de la sécurité des systèmes d’information).

Un retard qui se « paye » aujourd’hui

« Sur la stratégie des données, qui n’a pas été au rendez-vous depuis des années, on en paye la conséquence aujourd’hui », se désole également Catherine Morin-Desailly (Union centriste). La sénatrice de Seine-Maritime, qui fait partie du collège parlementaire de la Cnil, travaille sur ces questions depuis une quinzaine d’années. Sa récente interpellation du président de la République par courrier, l’été dernier, est restée sans réponse. « La montée en compétences sur la cyberformation, la cyber-résilience devrait être la priorité des priorités. L’exécutif doit faire un grand plan de sensibilisation, en faire une grande cause nationale. On n’a toujours pas de cadre législatif et la mobilisation opérationnelle pour que entreprises, collectivités et infrastructures diverses et variées se mettent en ordre de marche », avertit-elle.

« On prend du retard sur tout, et on a fait de mauvais choix en confiant des données à des hébergeurs extra-européens. Il n’y a pas vraiment de volonté politique depuis quatre ou cinq ans pour y aller », poursuit-elle. La sénatrice en donne pour exemple la loi Sren (sécuriser et réguler l’espace numérique). Près de deux ans après sa promulgation, un décret d’application sur la protection de données sensibles, vis-à-vis des autorités publiques d’États tiers non autorisées par le droit de l’Union européenne, manque toujours à l’appel.

Un projet de loi sur la cybersécurité bloqué depuis des mois

D’autres parlementaires ont par ailleurs tiré la sonnette d’alarme au début du mois, concernant la transposition de directives européennes clés sur la cybersécurité, notamment la directive « NIS 2 » de décembre 2022. C’est tout l’objet du projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité ».

Ce texte, déposé en octobre 2024, a été adopté par le Sénat en mars 2025, puis examiné en commission à l’Assemblée nationale en septembre dernier. Le processus est toutefois à l’arrêt. L’article 16 bis, inséré au Sénat via un amendement d’Olivier Cadic (Union centriste), est l’un des points bloquants. La disposition prévoit une sanctuarisation du chiffrement dans la loi. Elle interdirait toute obligation aux messageries instantanées d’installer de dispositifs de portes dérobées (backdoors). Ces « clés de déchiffrement maîtresses » pourraient en effet volontairement affaiblir la sécurité.

Or, cet article fait l’objet d’oppositions de la part de plusieurs services de renseignement, selon le sénateur, qui s’en est ému au début du mois, aux côtés du député Philippe Latombe (Modem), président de la commission spéciale sur ce projet de loi. La conférence de presse était intitulée « alerte sur un risque majeur pour la sécurité numérique de la France ».

« Il doit y avoir une volonté pour casser cette tendance » des attaques informatiques, pour « aller chercher les cyberattaquants où qu’ils soient », a plaidé le sénateur. « Ce qu’on espère c’est qu’on vote ce texte. C’est un projet fondamental pour la cybersécurité », insiste également Catherine Morin-Desailly.

« Ce sont des sujets éminemment difficiles à traiter », reconnaît le président Cédric Perrin. « Il faut tenir compte de cette complexité, voir ce qu’il est techniquement possible de faire, pour ensuite légiférer intelligemment. »