Une intrusion détectée puis contenue sur la plateforme HubEE, opérée par la Direction interministérielle du numérique, a conduit à l’exfiltration de dizaines de milliers de documents administratifs. Si l’incident a été techniquement maîtrisé en quelques jours, il rappelle la fragilité structurelle des plateformes mutualisées de l’État et pose, une nouvelle fois, la question de la gestion du risque cyber dans les services publics numériques.
Une détection rapide, un service rétabli sous surveillance renforcée
Le 9 janvier, les équipes de la DINUM détectent une activité anormale sur HubEE, plateforme d’échange de documents utilisée par plusieurs administrations pour fluidifier les démarches en ligne. L’attaque est immédiatement contenue : accès bloqué, mécanismes d’authentification durcis, supervision des flux renforcée. En trois jours, le service est remis en production.
Sur le plan strictement opérationnel, la réaction est rapide. La DINUM revendique une « intrusion maîtrisée », sans interruption prolongée de service. Mais la brièveté de l’indisponibilité ne doit pas masquer l’essentiel : l’attaquant a eu le temps d’exfiltrer des données.
70 000 dossiers concernés : l’angle mort des plateformes mutualisées
L’analyse menée dans les jours suivants permet de qualifier l’impact : environ 70 000 dossiers, représentant près de 160 000 documents, ont été extraits. Certains contiennent des données personnelles, sans que la nature précise des informations ne soit détaillée à ce stade.
Les administrations les plus concernées – DILA, DGCS, DGS, CNAF – s’appuient sur HubEE comme un socle d’échanges interservices. C’est précisément cette mutualisation qui fait la force du modèle… et sa vulnérabilité. Un point d’entrée unique, exposé, devient mécaniquement un point de concentration du risque.
Dans les architectures publiques comme privées, la question n’est plus de savoir si une intrusion surviendra, mais combien de temps elle restera invisible.
Notification réglementaire et chaîne d’alerte activée
Conformément aux obligations en vigueur, la DINUM a notifié la Commission nationale de l’informatique et des libertés, alerté l’Agence nationale de la sécurité des systèmes d’information, informé le Premier ministre et saisi la police judiciaire. Une plainte a été déposée le 12 janvier.
L’information des personnes concernées est désormais coordonnée avec les administrations utilisatrices de la plateforme. À ce jour, aucun élément ne permet d’affirmer que les données exfiltrées ont été publiées ou revendues. Une veille active a été mise en place pour détecter toute fuite ultérieure.
Cette séquence souligne un changement de posture de l’administration : la communication, longtemps minimaliste sur les incidents de sécurité, se veut ici plus explicite, sans pour autant entrer dans un niveau de détail technique.
Un rappel brutal sur la maturité cyber du secteur public
L’incident HubEE n’est ni spectaculaire ni inédit. Il est, au contraire, représentatif d’une nouvelle normalité : des attaques opportunistes, parfois silencieuses, ciblant des briques critiques mais peu visibles du numérique public.
La rapidité de réaction de la DINUM limite l’impact immédiat. Mais l’épisode interroge la capacité de l’État à concilier mutualisation, ouverture des services et exigences de sécurité élevées. Il rappelle aussi que la conformité réglementaire – notification, information, dépôt de plainte – ne saurait se substituer à une réflexion plus profonde sur la résilience des plateformes centrales.
