France Depuis mars 2024, France Travail est devenu l’un des cas d’école les plus commentés en matière de violation de données personnelles : fuite potentielle des données de 43 millions de personnes, compromission de 340 000 demandeurs d’emploi via l’application Kairos à l’été 2025, puis exposition des données d’environ 1,6 million de jeunes suivis par les Missions Locales à la fin de l’année 2025. Ces incidents successifs illustrent la pression croissante qui pèse sur les systèmes d’information publics, mais aussi les limites de dispositifs de sécurité encore trop centrés sur la seule conformité réglementaire.

Une chronologie d’incidents qui s’inscrit dans la durée

En mars 2024, France Travail (ex-Pôle emploi) annonce avoir été victime d’une cyberattaque ayant conduit à l’exfiltration massive de données personnelles. Les informations potentiellement compromises concernent les personnes actuellement inscrites, celles inscrites au cours des vingt dernières années, ainsi que les candidats disposant d’un espace sur le site francetravail.fr. Les données touchées sont des données d’identification : nom, prénom, date de naissance, numéro de Sécurité sociale, identifiant France Travail, adresses de contact et numéros de téléphone. Les mots de passe et coordonnées bancaires ne sont pas concernés, mais le volume – 43 millions de personnes – est sans précédent.

En juillet 2025, un nouvel incident touche l’écosystème France Travail via l’application Kairos, utilisée par les organismes de formation pour suivre le parcours des demandeurs d’emploi. Une action malveillante aboutit à la consultation non autorisée des données de 340 000 personnes. Là encore, il s’agit d’informations d’identification (état civil, coordonnées, identifiant France Travail) susceptibles d’être exploitées pour des campagnes d’hameçonnage ciblé ou des tentatives d’usurpation d’identité.

En décembre 2025, un troisième incident frappe cette fois le réseau des Missions Locales, via le système d’information partagé mis en place avec France Travail dans le cadre de la loi pour le plein emploi. Un compte d’agent « responsable gestion de compte » (RGC) est compromis, permettant à l’attaquant de créer deux comptes supplémentaires via le service ProConnect et d’accéder aux outils métiers. Résultat : les données d’environ 1,6 million de jeunes suivis par les Missions Locales sont potentiellement consultables et susceptibles d’être divulguées.

Quels types de données ont été exposés ?

Dans les trois incidents, la nature des données suit une logique similaire : il s’agit principalement de données d’identification et de contact, particulièrement sensibles lorsqu’elles sont agrégées à grande échelle et associées à un statut (demandeur d’emploi, bénéficiaire d’un accompagnement, etc.).

• Nom et prénom
• Date de naissance
• Numéro de Sécurité sociale (dans certains cas)
• Identifiant France Travail
• Adresses postale et électronique
• Numéros de téléphone

Les communiqués officiels précisent qu’aucun mot de passe ni aucune coordonnée bancaire n’ont été exfiltrés. Cela ne réduit pas pour autant l’ampleur du risque : des bases de données de cette taille sont extrêmement attractives pour les acteurs de la cybercriminalité, notamment pour l’hameçonnage ciblé, les tentatives de fraude sociale ou l’usurpation d’identité.

Des risques très concrets pour les personnes concernées

Même en l’absence de vols de mots de passe ou de coordonnées bancaires, la combinaison d’un état civil complet, d’un numéro de Sécurité sociale et de coordonnées de contact ouvre un champ large aux attaques :

• Hameçonnage ciblé (phishing, smishing, vishing) : des messages très crédibles, reprenant le contexte de la recherche d’emploi, peuvent être envoyés au nom de France Travail, des Missions Locales ou d’organismes de formation, pour inciter les victimes à cliquer sur un lien frauduleux ou à transmettre des documents complémentaires.
• Usurpation d’identité : les informations d’état civil et les numéros de Sécurité sociale peuvent servir de base à des démarches administratives ou contractuelles frauduleuses (souscriptions de services, demandes de crédits, etc.).
• Ingénierie sociale : les escrocs peuvent exploiter le contexte de vulnérabilité économique (situation de chômage, accompagnement vers l’emploi) pour pousser les victimes à accepter des propositions d’emplois fictifs, des formations payantes ou des prestations inexistantes.

Les recommandations de vigilance récurrentes (ne jamais communiquer ses identifiants ou coordonnées bancaires par téléphone ou par mail, vérifier l’adresse d’expédition, ne pas cliquer sur des liens suspects, etc.) restent indispensables, mais elles arrivent souvent après l’exposition des données.

Ce que révèle l’incident des Missions Locales : le point faible des comptes à privilèges

L’incident de décembre 2025 met particulièrement en lumière la criticité de la gestion des identités et des accès (IAM) dans les environnements interconnectés. Le compte compromis est celui d’un responsable gestion de compte (RGC), profil doté de droits élevés puisque chargé de gérer les habilitations de ses collègues au système d’information partagé.

En compromettant ce compte, l’attaquant ne se contente pas d’usurper l’identité d’un utilisateur : il acquiert la capacité de créer de nouveaux comptes via ProConnect et d’ouvrir ainsi des accès légitimes aux outils métiers utilisés pour le suivi des jeunes. La faille n’est donc pas uniquement technique, elle est aussi organisationnelle :

• Concentration de droits sensibles sur un nombre limité de comptes RGC ;
• Processus de revue des habilitations et de détection des créations de comptes anormales probablement insuffisamment outillés ou automatisés ;
• Dépendance forte à un parcours d’habilitation délégué à des partenaires externes, avec des niveaux de maturité cybersécurité hétérogènes.

France Travail rappelle avoir généralisé la double authentification (MFA) pour les collaborateurs de ses partenaires et imposé une formation spécifique aux RGC. L’organisme annonce également le renforcement de la sensibilisation périodique, conditionnant le maintien de l’accès au SI à une actualisation régulière des connaissances. Ces mesures vont dans le bon sens, mais interviennent dans un contexte où les attaquants exploitent déjà des identifiants compromis et des outils d’« infostealer » pour collecter des mots de passe sur les postes des utilisateurs.

Des fragilités structurelles dans un SI ouvert à de nombreux partenaires

La réforme du marché de l’emploi et l’ouverture du système d’information de France Travail à un large écosystème de partenaires (Missions Locales, Cap Emploi, organismes de formation, etc.) ont mécaniquement complexifié la surface d’attaque. Chaque nouveau portail, chaque application métier et chaque acteur tiers représente un point d’entrée potentiel supplémentaire.

Les incidents successifs révèlent plusieurs axes de fragilité récurrents :

• Multiplication des comptes et des profils techniques : plus le nombre de comptes administratifs ou à privilèges est élevé, plus la probabilité de compromission augmente, surtout si la rotation des mots de passe, la gestion des départs et la désactivation des comptes inactifs ne sont pas industrialisées.
• Dépendance aux applications partenaires : des services comme Kairos ou Ouiform, opérés ou utilisés par des tiers, peuvent devenir la porte d’entrée privilégiée des attaquants si les mises à jour, tests de sécurité et contrôles d’accès ne sont pas alignés sur un niveau d’exigence homogène.
• Supervision et détection des comportements anormaux : la capacité à détecter des requêtes massives, des exports inhabituels de données ou des connexions anormales depuis des adresses IP atypiques reste le nerf de la guerre dans des environnements aussi vastes.
• Culture de sécurité partagée : la conformité RGPD et les procédures documentées ne suffisent pas si la sensibilisation des équipes (internes et partenaires) n’est ni régulière, ni ancrée dans les pratiques quotidiennes.

Comment réagir si l’on est potentiellement concerné ?

Les personnes impactées ou susceptibles de l’être devraient adopter plusieurs réflexes de protection, en complément des recommandations officielles :

• Surveiller attentivement les mails, SMS et appels se réclamant de France Travail, des Missions Locales ou d’organismes de formation, surtout lorsqu’ils demandent de cliquer sur un lien, de transmettre des pièces d’identité ou des justificatifs bancaires.
• Vérifier systématiquement les adresses d’expédition des courriels, les URL des sites et se connecter de préférence en saisissant soi-même l’adresse officielle dans le navigateur plutôt qu’en cliquant sur un lien.
• En cas de doute, contacter directement France Travail ou sa Mission Locale via les canaux officiels (numéros ou adresses publiés sur les sites institutionnels) et non via les coordonnées présentes dans le message suspect.
• Surveiller ses relevés de compte, déclarations administratives et courriers inhabituels pouvant signaler une tentative d’usurpation d’identité.

Enseignements pour les organisations publiques et privées

Au-delà du cas France Travail, ces incidents fournissent plusieurs enseignements utiles à toute organisation manipulant des données personnelles en volume, qu’il s’agisse d’un établissement public, d’une collectivité, d’un organisme de formation ou d’une entreprise privée.

• Traitement des comptes à privilèges comme des actifs critiques : inventaire exhaustif des comptes à droits étendus, application stricte du principe du moindre privilège, détection en temps réel des créations ou modifications de comptes sensibles, journalisation détaillée des actions.
• Renforcement systématique de l’authentification : généralisation de la double authentification sur tous les accès externes, en particulier pour les partenaires et prestataires, avec des mécanismes résistants au phishing.
• Gouvernance des accès dans les relations avec les partenaires : encadrement contractuel (clauses de sécurité, responsabilités, notifications d’incident), processus clairs d’onboarding/offboarding des utilisateurs tiers, audits réguliers des habilitations et des pratiques de sécurité chez les partenaires clés.
• Segmentation et limitation de la portée des fuites : réduction des volumes de données accessibles par application ou par profil, mise en œuvre de contrôles de cohérence (seuils d’export, alertes en cas de consultation massive de dossiers, etc.).
• Sensibilisation continue, et pas uniquement ponctuelle : formation initiale obligatoire, mais aussi rappels réguliers, simulations d’hameçonnage et campagnes pédagogiques adaptées aux métiers pour ancrer les bons réflexes.

Vers une sécurité opérationnelle, au-delà de la seule conformité

La répétition des cyberattaques visant France Travail met en évidence un enjeu central : la conformité réglementaire (RGPD, notification à la CNIL, procédures de communication) ne suffit pas à elle seule à protéger durablement les personnes concernées. La vraie différence se joue sur la capacité à intégrer la cybersécurité au cœur du fonctionnement quotidien : gouvernance des accès, supervision en continu, sécurisation des applications métier, maîtrise de la chaîne de sous-traitance et culture de sécurité partagée avec l’ensemble de l’écosystème.

Les organisations qui souhaitent réduire significativement leur exposition au risque ont intérêt à objectiver leur niveau de maîtrise à travers des audits structurés (référentiels ISO 27001, bonnes pratiques d’hygiène informatique, analyses de risques) et à prioriser les actions ayant le plus fort impact : réduction des comptes à privilèges, durcissement de l’authentification, sécurisation des applications exposées, et accompagnement des utilisateurs face à l’augmentation des tentatives d’escroquerie et d’usurpation d’identité.