L’institut national de la statistique a subi une intrusion informatique détectée le 19 juin, entraînant la fuite de données d’identification professionnelles de ses agents passés et présents. Les investigations confirment que les données collectées auprès des entreprises et des ménages n’ont pas été compromises.
Une brèche contenue, mais réelle
Détectée le 19 juin dernier, l’attaque informatique dont a été victime l’Insee a conduit à l’exfiltration de données concernant environ 12 800 personnes : agents en poste, anciens agents ou membres des corps de l’Institut. Les informations exposées se limitent à des éléments d’identité et à des coordonnées professionnelles. Mots de passe, numéros de Sécurité sociale, coordonnées personnelles, données bancaires ou informations de santé n’ont pas été touchés.
Dès la détection de l’incident, les équipes informatiques de l’Institut ont engagé une réponse immédiate pour stopper l’intrusion. Elles travaillent désormais en coordination avec le service du haut fonctionnaire de défense et de sécurité du ministère des Finances (SHFDS) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI), tant pour la gestion de l’incident que pour le renforcement du système d’information. Conformément au RGPD, l’incident a été signalé à la CNIL. Une plainte a par ailleurs été déposée auprès du procureur de la République.
Les données statistiques hors d’atteinte
C’est le point que l’Institut tient à mettre en avant : les investigations techniques menées depuis la détection de l’attaque n’ont révélé aucune compromission des données collectées auprès des entreprises ou des particuliers dans le cadre des enquêtes statistiques. L’architecture de sécurité mise en place garantit une protection des données dès leur collecte jusqu’à leur exploitation à des fins de production statistique. Les portails de collecte restent sécurisés, les données personnelles sont limitées au strict nécessaire et les informations nominatives supprimées au plus tôt dans les traitements.
Un risque d’usurpation à prendre au sérieux
Si l’étendue des dégâts apparaît limitée, la publication d’une liste d’identités et de coordonnées professionnelles d’agents de l’Insee crée mécaniquement un risque d’usurpation à des fins d’hameçonnage ou d’escroquerie. L’Institut appelle à la vigilance toute entreprise ou tout particulier qui recevrait un message se réclamant d’un de ses agents. L’Institut publie également un calendrier des enquêtes en cours, distinct selon les profils, particuliers et entreprises, permettant de vérifier si une démarche est légitime au regard de son secteur ou de son profil.
