Secu
Prestataires, comptes légitimes, cloud : la vraie carte des fuites de 2025
Par Thierry Derouet, publié le 31 mars 2026
Prestataires compromis, comptes légitimes détournés, MFA absente ou contournée, environnements cloud mal gouvernés : le Baromètre des fuites de données personnelles 2026 du Forum InCyber montre que les incidents les plus lourds sont souvent passés par les portes déjà ouvertes par les organisations elles-mêmes.
Les fuites de données personnelles ont franchi un cap en 2025. Leur nombre a bondi en France, avec 8 613 violations notifiées à la CNIL entre septembre 2024 et septembre 2025, contre 5 919 un an plus tôt. Rapporté au quotidien, cela représente près de 24 incidents déclarés par jour, presque une fuite toutes les heures. Dans le même temps, Cybermalveillance.gouv.fr a franchi les 504 000 demandes d’assistance en 2025. Le constat quantitatif est sévère. Mais le plus intéressant est ailleurs : dans la nature des chemins empruntés par les incidents les plus lourds.
Le Baromètre des fuites de données personnelles 2026 du Forum InCyber incite à reconsidérer l’année 2025. L’étude ne décrit pas seulement une hausse des violations. Elle montre comment les attaquants ont, selon ses auteurs, « délaissé les attaques opportunistes » pour viser des cibles à « fort effet de levier », ces « hubs » techniques et organisationnels où une seule compromission peut exposer des volumes colossaux de profils. La vraie carte des fuites de 2025 ne suit donc pas seulement la ligne des vulnérabilités techniques. Elle épouse celle des dépendances, des accès de confiance et des concentrations de données.
La confiance comme point d’entrée
Ce qui rend ce baromètre particulièrement utile, c’est qu’il ne raconte pas une cybercriminalité futuriste. Il raconte au contraire la répétition de mécanismes largement connus, mais devenus beaucoup plus destructeurs dans des environnements numériques densifiés. Les fuites malveillantes passent de 3 649 cas en 2024 à 5 841 en 2025, soit une hausse de 60,1 %. Les actes externes ont atteint 5 905 incidents, contre 3 730 un an auparavant. Les fuites accidentelles progressent elles aussi, de 1 284 à 1 655 cas, et 346 d’entre elles impliquent des données sensibles.
Le document identifie quatre scénarios dominants : le prestataire comme point d’entrée, le phishing avec MFA absente ou contournée, la mauvaise configuration cloud et le ransomware avec exfiltration préalable. Pris séparément, ces scénarios sont connus. Pris ensemble, ils dessinent une transformation plus profonde : les attaques les plus graves passent moins par un mur qu’elles ne suivent des circuits déjà considérés comme légitimes. Le baromètre le formule très bien. Dans les cas de comptes compromis, « l’attaque ne ressemble plus à une attaque. Elle emprunte les chemins de l’utilisateur légitime ». Dans les cas liés aux tiers, « une seule compromission, des millions de personnes exposées. Le risque n’est plus local, il est systémique ».
Autrement dit, en 2025, la question n’est plus seulement de savoir si l’on peut empêcher toute intrusion. Elle a pour but de comprendre quelles portes sont ouvertes et vers quelle masse de données elles conduisent. C’est cette lecture qui donne au baromètre son intérêt pour un RSSI : il parle moins de cyberhéroïsme que de design du risque. Ce constat rejoint d’ailleurs celui d’autres analyses récentes sur la banalisation de l’attaque invisible décrite par l’ANSSI.
Des mécanismes banals, des effets massifs
Le point le plus frappant est peut-être celui-ci : rien, dans les causes principales des fuites de 2025, n’a réellement quelque chose d’exotique. On retrouve des accès mal contrôlés, des identifiants compromis, des MFA trop faibles ou contournées, des environnements cloud exposés, des segmentations insuffisantes, des dépendances tierces peu supervisées. Le baromètre ne met pas en scène une menace inconnue. Il décrit l’effet de levier pris par des faiblesses ordinaires dans des architectures où les données sont de plus en plus concentrées et mutualisées.
C’est pour cela que le sujet sort du strict champ technique. Une erreur de configuration dans un environnement peu dense est un incident local. La même erreur dans un hub partagé devient un événement systémique. Un compte compromis dans un SI peu interconnecté peut être contenu. Le même compte dans une architecture riche en accès transverses devient un vecteur de propagation. Le changement d’échelle de 2025 tient moins à la sophistication des méthodes qu’au prix désormais exorbitant de l’erreur.
Autosur, Intersport, CAF : trois fuites, une même logique
Les cas recensés dans l’étude sont utiles, car ils donnent corps à cette thèse sans tomber dans l’inventaire.
Autosur, d’abord, incarne la fuite par exposition. Le baromètre évoque des bases mal sécurisées contenant jusqu’à 10 millions de plaques d’immatriculation ainsi que des noms, adresses et coordonnées clients, pour un impact potentiel estimé à environ 4 millions de personnes. Ici, la brèche n’a rien de romanesque. Une mauvaise exposition de données suffit à produire un effet massif.
Intersport raconte une autre scène. Le vecteur mentionné est un accès compromis, revendu puis utilisé pour pénétrer le système d’information, avec 3,3 millions de personnes potentiellement touchées. Là, tout l’intérêt du cas tient dans sa banalité opérationnelle : un identifiant volé, un accès valide, une porte déjà là.
La Caisse d’allocations familiales, elle, pousse le raisonnement à l’échelle industrielle. L’étude mentionne une exfiltration via un tiers, avec 22 millions de lignes autour des données Pass’Sport. À ce niveau, la sous-traitance et la mutualisation cessent d’être de simples commodités d’organisation. Elles deviennent des multiplicateurs d’impact. Ce n’est plus seulement un incident chez un acteur ; c’est une défaillance dans une zone de confiance qui irrigue de très nombreux flux.
On pourrait ajouter Alain Afflelou, touché via un prestataire externe, ou la Caisse des dépôts, dans un scénario de compte légitime compromis. Mais la mécanique reste la même : la fuite ne vient pas d’abord d’une effraction spectaculaire ; elle passe par une permission ordinaire, un tiers admis dans le système, un accès qu’on croyait maîtrisé. Ce sujet fait écho aux débats plus larges sur le risque cyber fournisseurs et à la montée des alertes sur les tiers relevée par le baromètre CESIN 2026.
Le vrai sujet pour un RSSI : le rayon d’explosion
Le baromètre est sans doute le plus fort lorsqu’il déplace la question de l’intrusion vers celle de l’impact. Il estime à 12,2 millions le nombre total de personnes touchées en 2025, contre 8 millions en 2024, soit une hausse de 53 %. Le nombre de victimes augmente donc plus vite que le nombre d’incidents. Chaque compromission mord plus large. Chaque erreur rayonne davantage. Chaque accès mal contrôlé ouvre sur des ensembles de données plus vastes et plus sensibles.
À partir de là, la bonne question n’est plus seulement : « Sommes-nous capables d’empêcher l’entrée ? » Elle devient : « Quel serait notre rayon d’explosion si l’un de nos accès de confiance était compromis ? » C’est, au fond, la vraie question stratégique pour un RSSI en 2025. Non pas seulement la solidité du périmètre, mais la profondeur de ce qui devient accessible une fois la première porte franchie.
Cette notion est encore renforcée par la nature de certaines données compromises. Le baromètre insiste sur les données personnelles immuables : numéro de sécurité sociale, biométrie, données génétiques. Contrairement à un mot de passe, elles ne se réinitialisent pas. Une fois exposées, « le risque lié à ces données persiste toute la vie ». Une fuite ne se résume donc plus à un événement à circonscrire ; elle crée une dette de risque durable.
Finance, conseil, santé, administration : en 2025, les fuites de données (chiffres en milliers) frappent plus fort et touchent plus large, avec 12,2 millions de personnes potentiellement affectées.
Quand l’incident devient une crise de gouvernance
L’autre mérite de l’étude est de ne pas s’arrêter au moment de l’attaque. Elle s’intéresse aussi à ce qui transforme l’incident en crise. Et là encore, le diagnostic est moins technique qu’organisationnel. La détection tardive reste le principal facteur aggravant. Dans de nombreux cas, la fuite est découverte après une alerte externe. Le document recommande alors de qualifier rapidement trois éléments : la nature des données exposées, le volume potentiel et le statut de l’attaque. Sans cette qualification initiale, toute la suite se dérègle : pilotage, communication, notification, arbitrages juridiques.
Le baromètre énumère aussi plusieurs erreurs classiques : attendre d’avoir « toutes les réponses » avant d’agir, sous-estimer l’impact humain, gérer l’incident en silos, découvrir la CNIL au moment de l’urgence, minimiser publiquement avant de corriger en privé. Ce passage est important parce qu’il montre que les défaillances les plus coûteuses ne relèvent pas seulement d’un défaut d’outil. Elles relèvent aussi d’un défaut de coordination, de gouvernance, parfois de lucidité.
Même le volet consacré à l’assurance cyber va dans ce sens. L’étude rappelle que l’assurance ne remplace ni la préparation ni la maturité. Les exigences montent sur la MFA, les sauvegardes, les procédures et la capacité réelle de réponse. En d’autres termes, l’assurabilité elle-même devient un indicateur de discipline opérationnelle.
La vraie faille de 2025 n’est pas seulement technique
Ce que révèle finalement le baromètre, c’est moins une explosion désordonnée des attaques qu’une crise des zones de confiance. Les mécanismes sont connus : phishing, erreurs de configuration, accès trop larges, tiers mal supervisés, segmentation insuffisante. Ce qui a changé, c’est la portée de leurs effets dans des architectures où les données sont plus concentrées, les services plus mutualisés, les dépendances plus nombreuses. Une compromission n’expose plus seulement un système. Elle peut désormais exposer un écosystème entier.
Le document a cette formule très juste : « En 2025, le luxe ultime en cybersécurité ? Ne pas avoir autant de données à perdre. » Elle mérite d’être prise au sérieux. Car derrière elle se dessine une conclusion moins morale qu’architecturale : collecter moins, conserver moins longtemps, centraliser moins, restreindre plus sévèrement les accès persistants, superviser plus étroitement les tiers, réduire les zones de confiance implicite. Le sujet n’est plus seulement de durcir les murs. Il est de s’assurer que les portes n’ouvrent pas sur tout le bâtiment.
Au fond, la vraie carte des fuites de 2025 est là. Elle ne suit pas seulement les lignes du code ou des vulnérabilités. Elle épouse les habitudes d’organisation, les dépendances acceptées, les permissions accumulées, les concentrations de données que l’on croyait pratiques. Et c’est précisément ce qui devrait inquiéter les RSSI : les fuites les plus graves ne racontent pas toujours l’échec d’une défense. Elles racontent souvent l’excès de confiance placé dans le fonctionnement ordinaire du système.
Frise 2025
Les incidents majeurs de fuite de données, mois par mois
Une année où les fuites changent d’échelle : volumes massifs, données sensibles, prestataires compromis et comptes légitimes détournés.
Janvier
Autosur ouvre l’année avec l’un des cas les plus lourds, avec un impact estimé à environ 4 millions de personnes et jusqu’à 10 millions de plaques d’immatriculation.
Intersport suit avec 3,3 millions de personnes, tandis qu’Alain Afflelou en compte 1,5 million.
La séquence inclut aussi Chronopost (210 000 clients), Easy Cash (92 000), Kiabi (20 000) et La Poste.
Février
Conforama fait basculer le mois avec un impact potentiel de 9,4 millions de clients.
L’étude cite aussi Harvest, dont la compromission a eu un effet indirect sur plusieurs acteurs financiers et assurantiels, ainsi que la Caisse des dépôts, avec 70 000 personnes concernées, dont des données comprenant le numéro de sécurité sociale.
Mars
Aucun incident majeur n’est mis en avant dans l’étude pour ce mois.
Mai
Dior est cité pour un accès non autorisé à une base de données clients, avec un impact potentiel de 20 000 clients.
Juin
Sorbonne Université remet au premier plan la question des données sensibles avec 32 000 utilisateurs concernés.
L’étude mentionne notamment des coordonnées bancaires et des numéros de sécurité sociale.
Juillet
France Travail concentre l’attention avec 1,6 million de personnes concernées.
Urssaf / Pajemploi ajoute environ 1,2 million de comptes.
Air France est également mentionnée via un prestataire tiers, sans volume public à ce stade.
Août
Bouygues Telecom fait partie des cas les plus massifs de l’année avec environ 6,4 millions de comptes.
Les données évoquées comprennent des informations de contact, contractuelles et, pour certains profils, des IBAN.
Septembre
Les hôpitaux publics des Hauts-de-France sont liés à une compromission d’identifiants professionnels ayant exposé des données d’identité de patients.
L’impact n’est pas chiffré publiquement dans l’étude.
Octobre
La CAF marque l’un des sommets de l’année avec une exfiltration via un tiers portant sur 22 millions de lignes liées au dispositif Pass’Sport, soit l’équivalent d’environ 3,5 à 8 millions de foyers allocataires.
Novembre
Weda fait basculer l’alerte du côté de la santé numérique : dossiers médicaux complets, identité des patients, numéro de sécurité sociale, coordonnées et données de facturation.
L’étude évoque 23 000 professionnels impactés.
Décembre
L’année se referme sur deux cas particulièrement sensibles : le ministère de l’Intérieur, avec une compromission touchant des documents internes et des éléments liés au Traitement des antécédents judiciaires et au Fichier des personnes recherchées, et la Fédération française de Tir, avec 1 million de données de licenciés et anciens licenciés.
Source : Baromètre des fuites de données personnelles 2026, Forum INCYBER / Hexatrust, frise chronologique des cas cités.
FAQ
Qu’est-ce qui explique les fuites données personnelles en 2025 ?
En 2025, les fuites de données personnelles s’expliquent souvent par des accès prestataires compromis, des comptes légitimes détournés, des erreurs de configuration cloud et une gouvernance insuffisante des accès.
Pourquoi les RSSI doivent-ils suivre les fuites données personnelles ?
Les fuites de données personnelles révèlent moins une faille isolée qu’un problème plus large de pilotage des accès, de supervision des tiers, de concentration des données et de gestion de crise.
Le cloud est-il responsable des fuites données personnelles ?
Le cloud n’est pas responsable en lui-même. Le risque vient surtout d’une mauvaise gouvernance, d’erreurs de configuration, d’un contrôle insuffisant des accès et d’une segmentation trop faible.
Pourquoi les prestataires jouent-ils un rôle important dans les fuites données personnelles ?
Les prestataires disposent souvent d’accès étendus à des systèmes ou à des données sensibles. Lorsqu’un de ces accès est compromis ou mal encadré, l’impact peut devenir massif et toucher plusieurs organisations.
Comment réduire le risque de fuites données personnelles ?
Pour réduire le risque, les organisations doivent limiter les droits d’accès, renforcer la MFA, mieux superviser les tiers, réduire la concentration des données, améliorer la détection et préparer plus sérieusement la gestion de crise.
À LIRE AUSSI :
