Les informations personnelles (nom, prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses e-mail et postale, numéros de téléphone) de 43 millions d’individus ont été exposées le 13 mars dernier par France Travail. Que ce soit les individus en quête d’emploi en ce moment, ceux qui se sont inscrits au cours des 20 dernières années ou même ceux qui ont simplement créé un compte candidat sur francetravail.fr. Le résultat d’une attaque contre les systèmes d’information de l’opérateur qui s’est déroulée du 6 février au 5 mars 2024.
Quelques jours après, le parquet de Paris avait ouvert une enquête qui conduisait à l’arrestation de trois individus d’une vingtaine d’années, accusés de s’être introduits dans les systèmes de France Travail par le détournement de comptes de Cap Emploi, réseau d’organismes de placement spécialisés dans l’accompagnement des personnes handicapées. Une fois que les comptes d’utilisateurs légitimes de Cap Emploi ont été récupérés, les pirates ont simplement contacté l’assistance pour demander la réinitialisation des codes d’inscription. Avec succès.
La simple analyse des faits soulève de nombreuses interrogations. Dans un premier temps – et même si, d’après Next, le vol de données se réduirait à 1 à 1,5 million de comptes, les pirates ayant sélectionné des données plutôt que de les évacuer en masse –, la portée des informations présentées soulève des questions. Pourquoi est-ce que France Travail garde les informations des demandeurs d’emploi pendant une période de 20 ans? En effet, en vertu de la loi, le code du travail stipule : ” Les données personnelles et les informations enregistrées dans le système d’information sont conservées pendant un délai maximal de vingt ans à partir de la date de cessation de l’inscription sur la liste des précaires. “
Le syndicat CGT de la DSI de France Travail souligne également les lacunes de la mise en œuvre opérationnelle de la réforme dans un courriel suite à une réunion du CSE le 28 mars : « Cette attaque est le résultat de la décision assumée de la direction de la DSI de ne pas mettre en œuvre les préconisations sécuritaires nécessaires à l’ouverture de notre système d’information aux partenaires de France Travail », affirme le syndicat. Selon lui, le risque associé à cette mise en réseau avait pourtant été repéré dès 2022 et la mise en œuvre de l’authentification multifacteur avait été recommandée à cette époque.
De plus, la manière dont l’attaque a été menée et le communiqué qui l’a officialisée semblent indiquer que les utilisateurs de Cap Emploi bénéficiaient des mêmes droits que ceux de Pôle Emploi. Selon la CGT dans son courriel interne du 2 avril, les employés de Cap Emploi ont des autorisations d’accès non limitées. Et il convient également de noter que les prestataires qui travaillent pour la DSI, que ce soit sur site ou à distance, « ont les mêmes droits que les internes, que ce soit dans le domaine de la qualification ou de la production du SI ». Selon le syndicat, la direction de France Travail doit donc mettre en place une authentification multifacteur pour « tous les partenaires et salariés », ainsi que l’application rigoureuse du principe de moindre privilège.
Au cours de la procédure législative, ce danger intrinsèquement associé à la connexion d’utilisateurs externes aux systèmes d’information clés de l’ancien Pôle Emploi n’a été mis en évidence que de manière limitée. L’analyse d’impact, qui constitue néanmoins l’un des rôles, souligne les contraintes que pose « l’absence de connexion entre les systèmes d’information et le manque de partage de données » pour l’efficacité des politiques publiques de relance professionnelle. Cependant, sans prendre en compte les dangers que cette mise en commun comporte.
Le Conseil constitutionnel a également censuré en partie la loi Plein Emploi le 14 décembre 2023, notamment certaines dispositions de cet article 4 en raison d’une “atteinte excessive au droit au respect de la vie privée”. Cependant, en approuvant principalement le concept d’ouverture des systèmes d’information et de partage de données. Avec les répercussions que l’on connaît moins d’un trimestre après.
Skills4All est un certificateur et organisme de formation en digital learning, qui vous prépare aux certifications les plus reconnues sur le marché : PMI, AXELOS, IASSC, DevOps Institute, PEOPLECERT, GASQ, CFTL, BESTCERTIFS, dans les domaines de la cybersécurité, de l’IT, la data, l’IA, l’agilité, Scrum, Prince2, Lean Six Sigma, Gestion de projet et bien plus encore.
Avec nous, c’est quand vous voulez, où vous voulez, 24/7/365, à votre rythme.
Nous proposons des formations certifiantes, éligibles au CPF et reconnues dans le monde entier.
Skills4All est accrédité par le COFRAC (Comité Français d’Accréditation) en tant que certificateur dans le domaine de la sécurité de l’information : nos certifications sont les meilleures du marché et répondent à la norme ISO 17024, la plus exigeante aujourd’hui. Obtenir une certification Skills4All ou BestCertifs aujourd’hui c’est le gage d’une reconnaissance forte du marché qui valorisera vos compétences.
N’attendez plus, réservez votre formation 100% en ligne immédiatement ou contactez-nous au (+33) 1-85-39-09-73 ou sur contact@skills4all.com.
Organisme de formation enregistré sous le numéro 1178 8340 078 auprès du préfet de Région Ile-de-France. Cet enregistrement ne vaut pas agrément de l’Etat.
– Notre numéro Datadock est le 0034895 – Skills4All est partenaire PeopleCert® n°3605
– Skills4All est ATP® Accredited Training Partner n°4326 (PMI)
– Skills4All est Accredited Partner n°3605 pour le DevOps Institute
– Skills4all est partenaire WILEY pour Everything DiSC® n°330556
– Skills4All est Accredited Partner IASSC® n°01-1159 – IASSC is a registered trademark of International Association for Six Sigma Certification.
– IASSC® Accreditation does not constitute its’ approval or recognition of our own lean six sigma certification program. The only method to earn an IASSC certification is to successfully sit for and pass an official IASSC Certification exam. We provide access to IASSC Certification exams for no additional cost
– The Swirl logo™ is a trade mark of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved.
– ITIL®, PRINCE2®, MSP®, PRINCE2 Agile® are registered trade marks of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved.
– PMBOK, PMI, PMP, PgMP, CAPM, PMI-SP, PMI-RMP, and PMI-ACP are registered marks of the Project Management Institute, Inc.
– PMI Registered Education Provider logo is a registered mark of the Project Management Institute, Inc.
– The PMI logo is a registered trade mark of Project Management Institute, Inc.
– Skills4All warrants that it will, at all times, act in an honest, ethical and professional manner both in its dealing with PMI® and with the general public
– La désignation du DPO pour Skills4All porte le numéro DPO-71270 auprès de la CNIL
– Skills4All est partenaire avec CFTL – Comité Français des Tests Logiciels
– EXIN Accredited organisation et Accredited Training Organization
– Skills4All est adhérent aux Acteurs de la Compétence sous le numéro 22312 – IBAN: FR76 1670 6000 6353 9373 9838 / Code SWIFT: AGRIFRPP867
