Cyberattaque contre l’URSSAF : pourquoi cet incident concerne toutes les organisations (et pas seulement l’État)

Sommaire

• Ce qu’il s’est réellement passé
  • Une faille dans la chaîne de confiance
• Quelles données ont été exposées ?
• Pourquoi ces données intéressent les attaquants ?
  • Le risque principal : le phishing ciblé
• Un point clé : l’impossibilité d’identifier précisément les victimes
• L’éclairage juridique : ce que révèle cet incident en droit du numérique
  • 1. La sécurité des accès tiers
  • 2. L’authentification forte
  • 3. Notification, transparence et confiance
• “Cela peut arriver à n’importe qui”
• Ce que les organisations devraient retenir
• En conclusion

Le 19 janvier 2026, URSSAF a annoncé avoir été victime d’une cyberattaque d’ampleur. Jusqu’à 12 millions de salariés, embauchés depuis janvier 2023, sont potentiellement concernés. Au-delà des chiffres, cet incident pose une question essentielle :

Si une institution nationale peut être exposée, qu’en est-il des autres organisations ?

Ce qu’il s’est réellement passé

Contrairement à certaines idées reçues, les serveurs de l’URSSAF n’ont pas été piratés directement. L’attaque repose sur un scénario aujourd’hui bien connu en cybersécurité : la compromission d’un accès légitime via un tiers.

Une faille dans la chaîne de confiance

Les attaquants ont :

• dérobé les identifiants d'un partenaire officiel de l'URSSAF,
• utilisé ces accès pour se connecter à l'API DPAE (Déclaration Préalable à l'Embauche),
• consulté un très grand nombre de dossiers sans déclencher d'alerte, car l'accès était techniqument autorisé.

Cette méthode rend l’intrusion particulièrement difficile à détecter : le système ne voit pas un pirate, mais un utilisateur habilité.

Quelles données ont été exposées ?

Les informations concernées sont :

• nom et prénom,
• date de naissance,
• numéro SIRET de l'employeur,
• date d'embauche

Les données les plus sensibles (numéro de sécurité sociale, coordonnées bancaires, e-mail, téléphone) n’ont pas été compromises selon les éléments communiqués.

Pour autant, ces données restent des données à caractère personnel, au sens du RGPD.

Pourquoi ces données intéressent les attaquants ?

À première vue, les informations exposées peuvent sembler “peu exploitables”. En réalité, elles sont extrêmement utiles dans une logique d'ingénierie sociale.

Le risque principal : le phishing ciblé

Connaître :

• l’employeur exact,
• la date d’embauche,
• l’identité de la personne,

permet de créer des messages parfaitement crédibles :

• faux courriers administratifs,
• faux appels liés à la paie ou à l’embauche,
• demandes frauduleuses de coordonnées bancaires.

Ces données peuvent aussi être recoupées avec d’autres bases issues de fuites antérieures.

Un point clé : l’impossibilité d’identifier précisément les victimes

L’URSSAF a indiqué ne pas être en mesure de déterminer quels dossiers individuels ont été consultés.

Par précaution, l’organisme considère donc que l’ensemble des salariés concernés par une embauche récente est potentiellement exposé.

Cette situation illustre une réalité souvent méconnue :

l’absence de traçabilité fine complique fortement la gestion juridique d’un incident.

L’éclairage juridique : ce que révèle cet incident en droit du numérique

1. La sécurité des accès tiers

Le RGPD impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées.

Cela inclut :

• la gestion des habilitations,
• la surveillance des accès,
• la limitation des usages anormaux.

L’incident relance une question centrale :
comment encadrer efficacement les accès partenaires à grande échelle ?

2. L’authentification forte

L’absence d’authentification multi-facteurs (MFA) pour certains accès sensibles est aujourd’hui perçue comme un point de fragilité majeur.

Sans affirmer une obligation générale, le droit impose une appréciation du risque. Plus les données et les volumes sont importants, plus les exigences de sécurité doivent être élevées.

3. Notification, transparence et confiance

La gestion d’une violation de données ne se limite pas à l’aspect technique :

• information des personnes concernées,
• communication claire,
• prévention des risques secondaires (escroqueries, usurpation).

Ces éléments participent directement à la confiance numérique, enjeu central du droit du numérique contemporain.

“Cela peut arriver à n’importe qui”

C’est sans doute la leçon la plus importante.

Cette attaque :

• n’exploite pas une technologie “exotique”,
• ne repose pas sur une faille spectaculaire,
• mais sur une mauvaise maîtrise de la chaîne d’accès.

C’est exactement le type de scénario que l’on retrouve :

• dans les PME,
• chez les sous-traitants,
• dans les collectivités,
• et dans de nombreuses organisations privées.

Ce que les organisations devraient retenir

Sans entrer dans des solutions miracles, quelques principes se dégagent clairement :

• cartographier précisément les accès tiers,
• limiter les droits au strict nécessaire,
• surveiller les volumes et comportements anormaux,
• documenter les choix de sécurité,
• anticiper juridiquement la gestion d’un incident.

La cybersécurité n’est plus seulement une question technique. C’est une question de gouvernance et de conformité.

En conclusion

L’attaque visant l’URSSAF n’est pas un cas isolé, ni une exception liée au secteur public.
Elle révèle des fragilités structurelles que beaucoup d’organisations partagent.

Un incident de sécurité ne se gère jamais dans l’urgence.

Mieux vaut s’y préparer en amont, tant sur le plan technique que juridique.
Un échange permet souvent d’identifier rapidement les points de fragilité et les priorités d’action.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus