2025, l'hémorragie : 40 millions de comptes français dans la nature

Quarante millions trois cent mille. C'est le nombre de comptes français compromis au cours de la seule année 2025, selon les données croisées de Surfshark, CyberNews et Incyber. Rapporté à la population adulte du pays, cela signifie qu'un Français a été touché en moyenne onze fois par des fuites de données sur la période. La France se classe désormais au deuxième rang mondial des pays les plus exposés, juste derrière les États-Unis.

Ce chiffre n'est pas un accident statistique. Il est le produit d'une accumulation systémique de défaillances, d'un sous-investissement chronique dans la sécurité informatique et d'une culture de la donnée qui, dans trop d'organisations françaises, considère encore le chiffrement comme un luxe plutôt qu'une nécessité. La densité de fuites en France atteint douze fois la moyenne mondiale, d'après les calculs de CyberNews. Aucun autre pays européen ne s'approche de ce ratio.

Pour comprendre comment la France en est arrivée là, il faut dérouler la chronologie. Pas celle des communiqués de presse aseptisés que les entreprises publient après chaque incident, mais celle des données brutes : le nombre de victimes, la nature des informations dérobées, et surtout les failles béantes qui ont permis chaque intrusion. Ce qui émerge de cet examen n'est pas le tableau d'un pays frappé par la malchance, mais celui d'une négligence organisée à l'échelle industrielle.

L'année 2024 : le premier séisme

Tout commence en janvier 2024. Viamedis, opérateur de tiers payant qui traite les remboursements de santé pour des dizaines de mutuelles, découvre une intrusion dans ses systèmes. Le bilan est vertigineux : trente-trois millions de patients exposés. Les données compromises incluent des numéros de sécurité sociale, des dates de naissance, des noms de mutuelles et des garanties contractuelles. Ce n'est pas une fuite. C'est un effondrement.

Deux mois plus tard, en mars 2024, France Travail, l'ancien Pôle Emploi, annonce à son tour une compromission d'une ampleur inédite dans le secteur public. Quarante-trois millions de demandeurs d'emploi sont concernés. Les données volées comprennent des noms, des adresses postales, des numéros de sécurité sociale (NIR) et des coordonnées complètes. L'enquête révèle que le système d'authentification ne disposait pas de mécanisme d'authentification multifacteur et que le seuil de blocage des tentatives de connexion était fixé à cinquante essais. Cinquante. Un attaquant patient disposait donc de quarante-neuf chances d'erreur avant que le système ne réagisse.

Le secteur hospitalier n'est pas épargné. En février 2024, l'hôpital d'Armentières voit neuf cent cinquante mille dossiers patients aspirés par des attaquants, soit dix-huit gigaoctets de données médicales publiés sur des forums criminels. En avril, c'est l'hôpital de Cannes qui subit le même sort, avec soixante et un gigaoctets de données médicales rendus publics. Des comptes rendus opératoires, des diagnostics, des résultats d'analyses sanguines, le tout accessible à quiconque sait naviguer sur le dark web.

L'automne noir du retail et des télécoms

Septembre 2024 marque l'ouverture d'un second front. Boulanger, l'enseigne d'électronique grand public, confirme le vol de vingt-sept millions cinq cent mille lignes de données clients : noms, adresses, numéros de téléphone, adresses email. Le même mois, SFR reconnaît la compromission de trois millions six cent mille comptes clients, incluant des IBAN bancaires. L'Assurance Retraite signale de son côté l'exposition des données de trois cent soixante-dix mille bénéficiaires, dont les numéros de sécurité sociale et les adresses postales.

Octobre 2024 apporte le coup le plus spectaculaire. Free, deuxième opérateur télécoms français, révèle une fuite portant sur vingt-quatre millions de contrats et cinq millions cent mille IBAN. La CNIL établira que ces IBAN étaient stockés sans protection adéquate : en clair, sans chiffrement. Le régulateur reprochera explicitement à Free l'absence de « mesures élémentaires de sécurité ». Le mot « élémentaires » mérite qu'on s'y arrête. Il ne s'agit pas d'un reproche portant sur des dispositifs sophistiqués ou coûteux. Il s'agit du minimum.

Novembre voit Auchan rejoindre la liste avec plus de cinq cent mille clients touchés. LDLC, spécialiste de la vente de matériel informatique en ligne, subit deux vagues distinctes : un million cinq cent mille clients en mars 2024, puis une seconde intrusion plus importante en décembre. L'ironie d'un revendeur de matériel informatique incapable de protéger ses propres bases de données n'échappe à personne dans le milieu de la cybersécurité.

2025 : la récidive comme norme

Ceux qui espéraient que le choc de 2024 provoquerait un sursaut collectif en sont pour leurs frais. L'année 2025 s'ouvre sur de nouvelles brèches. Bouygues Telecom confirme le vol de cinq millions cent mille IBAN. France Travail, déjà victime l'année précédente, est frappé sept fois au cours de l'année 2025. La dernière attaque en date touche un million six cent mille jeunes inscrits sur la plateforme. Sept fuites en un an pour un même organisme public : le mot « récidive » ne suffit plus, il faut parler de vulnérabilité structurelle.

Kiabi, enseigne de prêt-à-porter, vient allonger la liste des enseignes du commerce de détail dont les systèmes ont cédé. Le secteur du retail, qui avait déjà vu Boulanger, Auchan, Cultura et Truffaut frappés en 2024, confirme son statut de cible privilégiée. La raison en est simple : ces entreprises collectent des volumes massifs de données personnelles (adresses de livraison, historiques d'achat, coordonnées bancaires) mais n'investissent pas proportionnellement dans leur protection. Le rapport coût-bénéfice du vol de données penche, pour l'attaquant, nettement en sa faveur.

Les chiffres de la CNIL confirment cette trajectoire. Cinq mille six cent vingt-neuf notifications de violations de données ont été déposées en 2024, soit une hausse de vingt pour cent par rapport à 2023. Le nombre d'incidents affectant plus d'un million de personnes a doublé, passant d'environ vingt à environ quarante. La tendance n'est pas à la stabilisation. Elle est à l'accélération.

Anatomie d'un désastre : le problème du texte en clair

Au-delà des chiffres, un constat technique traverse la quasi-totalité de ces incidents : les données volées n'étaient pas chiffrées. Ce point est capital. Le chiffrement des données au repos, c'est-à-dire lorsqu'elles sont stockées dans une base de données, est une mesure de sécurité connue depuis les années 1970. Son coût de mise en œuvre a considérablement baissé. Les outils sont matures, documentés, disponibles en open source. Et pourtant, la majorité des fuites majeures de 2024 et 2025 ont exposé des données en clair.

Le cas de Free est emblématique. Cinq millions cent mille IBAN stockés sans chiffrement chez le deuxième opérateur télécoms du pays. Pas chez une startup de trois personnes. Pas chez un artisan qui vend en ligne depuis son garage. Chez un opérateur qui facture des millions de clients chaque mois et dont l'infrastructure informatique emploie des centaines d'ingénieurs. La CNIL a sanctionné Free, mais la question dépasse le cas individuel. Si un acteur de cette taille ne chiffre pas les IBAN de ses clients, quel est l'état réel des pratiques dans le tissu des PME et ETI françaises ?

La réponse, d'après les experts du secteur, est préoccupante. Le chiffrement des données sensibles reste l'exception dans les entreprises françaises de taille intermédiaire. Les raisons invoquées sont toujours les mêmes : le coût supposé, la complexité technique perçue, l'impact redouté sur les performances des applications, et, peut-être le plus révélateur, la conviction que « ça n'arrive qu'aux autres ». France Travail, avec ses sept fuites en un an, est la démonstration vivante que cette conviction est un pari perdant.

L'authentification, cet angle mort

Le chiffrement n'est pas le seul absent. L'authentification multifacteur (MFA), cette mesure qui consiste à demander une deuxième preuve d'identité en plus du mot de passe, aurait suffi à prévenir quatre-vingts pour cent des fuites majeures de 2024. Le chiffre provient d'analyses post-incident menées par plusieurs cabinets de conseil en cybersécurité. Quatre-vingts pour cent. Pas avec de l'intelligence artificielle, pas avec des technologies expérimentales, mais avec un SMS de vérification ou une application d'authentification que n'importe quel adolescent utilise déjà pour protéger son compte de jeu vidéo.

L'exemple de France Travail est, à cet égard, accablant. Un seuil de blocage à cinquante tentatives sans MFA, c'est une porte blindée dont on a oublié de fermer la serrure. Les attaquants n'ont pas eu besoin d'exploiter une vulnérabilité zero-day ou de déployer un malware sophistiqué. Ils ont simplement testé des combinaisons d'identifiants jusqu'à trouver les bonnes. La technique porte un nom : le credential stuffing. Elle date des années 2000. Vingt-cinq ans plus tard, elle fonctionne encore contre des systèmes qui gèrent les données de quarante-trois millions de personnes.

La France dans le miroir international

Comment expliquer que la France soit douze fois plus exposée que la moyenne mondiale ? Plusieurs facteurs structurels se combinent. Le premier est la centralisation. La France aime les bases de données nationales, les identifiants uniques, les fichiers de masse. Le NIR, le numéro de sécurité sociale, est utilisé comme identifiant dans des dizaines de systèmes différents, de la santé à l'emploi en passant par la retraite. Chaque fuite d'un système contenant le NIR enrichit les bases de données criminelles qui permettent d'attaquer les autres systèmes. C'est un effet domino que la centralisation amplifie.

Le deuxième facteur est le retard d'investissement. La France consacre en moyenne entre un et trois pour cent de son budget informatique à la cybersécurité, contre cinq à dix pour cent dans les pays anglo-saxons les plus avancés, selon les données de l'ANSSI et de différents rapports sectoriels. Cet écart se traduit directement dans la robustesse des systèmes. Les entreprises françaises modernisent leurs interfaces client, investissent dans le cloud, déploient des applications mobiles, mais négligent la couche de sécurité qui devrait accompagner chacune de ces évolutions.

Le troisième facteur est culturel. La cybersécurité reste perçue, dans trop de directions générales françaises, comme un centre de coût plutôt qu'un investissement. Le RSSI, quand il existe, rapporte souvent au DSI plutôt qu'au directeur général. Son budget est le premier à être rogné en période de restriction. Ses alertes sont entendues poliment, puis classées sans suite jusqu'au jour où un journaliste appelle le service de communication pour demander des précisions sur une fuite.

Ce que les chiffres ne disent pas

Il serait malhonnête de présenter ce tableau sans en reconnaître les limites. Le décompte de quarante millions trois cent mille comptes compromis agrège des fuites de natures très différentes. L'exposition d'une adresse email n'a pas le même impact que celle d'un IBAN ou d'un numéro de sécurité sociale. Certaines de ces données étaient peut-être déjà publiques ou déjà compromises lors de fuites antérieures. Le chiffre de « onze fuites par Français » est une moyenne statistique qui ne signifie pas que chaque citoyen a été personnellement victime onze fois.

La France n'est pas seule dans cette situation. Les États-Unis, l'Australie et plusieurs pays d'Asie du Sud-Est affichent des bilans absolus plus lourds. La particularité française tient à la densité, le ratio entre le nombre de comptes compromis et la population, et à la concentration des fuites dans quelques secteurs clés : télécoms, santé, services publics et grande distribution.

Il faut aussi reconnaître que certaines initiatives fonctionnent. L'ANSSI a renforcé ses capacités d'alerte et d'accompagnement. Le CERT-FR traite un volume croissant d'incidents. Plusieurs grandes entreprises françaises, notamment dans la banque et la défense, maintiennent des standards de sécurité élevés. Le problème n'est pas l'absence totale de compétences ou de bonnes pratiques. Le problème est leur distribution extraordinairement inégale dans le tissu économique.

Le coût réel de la négligence

Depuis 2004, sept cent seize millions six cent mille comptes ont été compromis en France, selon les données consolidées de Surfshark. Ce chiffre place le pays au premier rang de l'Europe de l'Ouest en termes de volume cumulé de fuites. Sept cent seize millions de comptes pour un pays de soixante-sept millions d'habitants. Chaque Français a vu ses données personnelles exposées en moyenne plus de dix fois en vingt ans.

Le coût économique de ces fuites est difficile à chiffrer avec précision, mais ses composantes sont identifiées : fraude bancaire consécutive au vol d'IBAN, usurpation d'identité rendue possible par la combinaison nom-adresse-NIR, phishing ciblé s'appuyant sur des données personnelles authentiques, et perte de confiance des consommateurs envers les services numériques. Chaque fuite alimente un écosystème criminel qui monétise les données volées pendant des années. Les IBAN dérobés chez Free en octobre 2024 ou chez Bouygues Telecom en 2025 sont aujourd'hui en circulation sur des marchés noirs où ils se vendent entre cinq et cinquante euros l'unité, selon le degré de complétude du profil associé.

Pour les entreprises victimes, le coût direct inclut la notification obligatoire aux personnes concernées, les frais de remédiation technique, les honoraires juridiques et, de plus en plus souvent, les sanctions de la CNIL. Mais le coût indirect (atteinte à la réputation, perte de clients, augmentation des primes d'assurance cyber) dépasse généralement le coût direct d'un facteur trois à cinq.

Ce qui vient : NIS2, DORA et la fin de l'impunité

Le cadre réglementaire européen est en train de se transformer. La directive NIS2, dont la transposition en droit français est en cours, étend le périmètre des organisations soumises à des obligations de cybersécurité. Des milliers d'ETI et de PME qui n'étaient jusqu'ici soumises à aucune contrainte spécifique vont devoir démontrer qu'elles protègent effectivement les données qu'elles traitent. Le chiffrement des données sensibles au repos et en transit figure explicitement parmi les mesures attendues.

Dans le secteur financier, le règlement DORA impose depuis janvier 2025 des exigences de résilience opérationnelle numérique à l'ensemble des acteurs : banques, assurances, sociétés de gestion, mais aussi leurs prestataires technologiques. Les IBAN stockés en clair, les systèmes sans MFA, les seuils de blocage à cinquante tentatives : tout cela devient non seulement imprudent, mais illégal.

Les sanctions, elles aussi, changent d'échelle. La CNIL a déjà montré, avec le cas Free, qu'elle n'hésitait plus à nommer publiquement les manquements « élémentaires ». NIS2 prévoit des amendes pouvant atteindre dix millions d'euros ou deux pour cent du chiffre d'affaires mondial. DORA va encore plus loin pour le secteur financier. Le temps où une fuite de données se soldait par un communiqué contrit et une offre de surveillance de crédit gratuite pendant six mois est en train de s'achever.

La question n'est plus de savoir si les entreprises françaises vont investir dans la protection de leurs données. La question est de savoir combien d'entre elles le feront avant la prochaine fuite massive, et combien attendront d'y être contraintes par une amende, un procès ou la perte d'un client stratégique. Les quarante millions de comptes compromis en 2025 ne sont pas une fatalité. Ils sont le résultat de choix, ou d'absence de choix, qui peuvent encore être corrigés. À condition de commencer maintenant.