La loi Plein Emploi du 18 décembre 2023 institue l’ouverture de la plateforme France Travail aux utilisateurs externes à l’organisation. Ceci signifie que ces derniers ont accès aux données des personnes inscrites sur Pôle Emploi depuis 2000.
Cependant, le délai imparti pour la mise en œuvre de cette nouvelle mesure a été trop court, et les équipes informatiques de France Travail n’ont pas eu le temps de sécuriser suffisamment les informations sensibles. Pour preuve la fuite des données lors de la cyberattaque le 13 mars 2024.
Un large stock de données à caractère personnel piraté
ImportantL’intrusion a permis aux cybercriminels de voler un large stock de données à caractère personnel appartenant à environ 43 millions d’individus inscrits depuis 20 ans auprès de Pôle Emploi.
Pour arriver à leurs fins, les pirates informatiques ont tout simplement détourné des comptes de Cap Emploi, un des partenaires de l’organisation, et demandé la réinitialisation des codes d’accès.
Selon les observateurs,
Cet incident grave a pour origine la mise en réseau hâtive de France Travail avec des utilisateurs externes en vue d’assurer l’interopérabilité de leurs SI.
Cette décision faisant suite à l’adoption de la loi Plein Emploi n’a pas tenu compte des enjeux de la cybersécurité,
Estiment les syndicats de l’Ex-Pôle Emploi. Les risques associés à l’ouverture du système informatique de l’organisation ont ainsi ignorés, alors que ceux-ci ont déjà été identifiés bien avant l’entrée en vigueur de ce texte réglementaire.
Des droits d’accès identiques pour tout le monde
En effet, les utilisateurs, quel que soit l’organisme qui les emploie, bénéficient des mêmes droits d’accès. En outre, tous les prestataires travaillant avec le département numérique en interne peuvent également entrer dans le réseau, sans restrictions.
Après cette attaque, il va sans dire que la DSI de France Travail aura besoin de renforcer son équipe en recrutant des experts en cybersécurité. Ces derniers devront corriger les failles du système et définir une stratégie adaptée aux exigences et contraintes de l’organisation.
