Focus sur…le Baromètre des fuites de données personnelles

Une fuite toutes les heures. C’est peu ou prou le rythme auquel la France a vécu l’année 2025 en matière de données personnelles. De la CAF à France Travail, du ministère de l’Intérieur aux hôpitaux des Hauts-de-France, aucun secteur n’a été épargné. Le Baromètre INCYBER 2026 décrypte les mécanismes d’une menace devenue systémique… et identifie les leviers pour y répondre.

8613 violations en un an : le basculement dans une nouvelle échelle

Chaque jour ouvré de 2025, 24 fuites de données ont été déclarées à la CNIL. La période septembre 2024-septembre 2025 enregistre donc un total 8 613 violations. Elles étaient 5 919 l’année précédente. Dans le détail, cette progression touche toutes les catégories d’incidents. Les fuites malveillantes ont ainsi crû de 60,1 %, passant de 3 649 à 5 841. Elles représentent désormais la majorité des violations déclarées. Les fuites accidentelles progressent aussi, mais à un rythme plus modéré : +28,9 %, avec 346 incidents impliquant des données sensibles contre 259 en 2024.

Activités financières et santé : les secteurs les plus frappés

Les chiffres par secteur révèlent aussi des disparités saisissantes. Les activités financières et les assurances enregistrent par exemple +143 % d’incidents, passant de 885 à 2 153 déclarations. Les activités spécialisées et techniques affichent la même hausse. La santé humaine et l’action sociale progressent également de 45,2 %. Même l’administration publique, pourtant déjà fragilisée, accuse un +4,3 %.

Résultat ? 12,2 millions de personnes concernées en 2025, contre 8 millions l’année précédente. Soit une hausse de 53 %. Le nombre de victimes croît donc plus vite que le nombre d’incidents… signe que chaque brèche touche des volumes massifs de données.

Une chronologie accablante…

Dans ce Baromètre INCYBER 2026, la chronologie des incidents 2025 dessine le portrait d’une France numérique systémiquement vulnérable. Dès janvier, Kiabi et Chronopost subissent des fuites applicatives. En février, Conforama, Harvest et la Caisse des dépôts voient leurs données exposées. En mars, Autosur révèle jusqu’à 10 millions de plaques d’immatriculation compromises. Intersport touche 3,3 millions de personnes. Alain Afflelou, 1,5 million.

Bref, cette montée en puissance ne faiblit pas. En août, Bouygues Telecom déclare environ 6,4 millions de comptes affectés. Deux mois plus tard, la CAF révèle 22 millions de lignes exfiltrées. En décembre, le ministère de l’Intérieur lui-même annonce la compromission de son infrastructure de messagerie interne, incluant des fichiers issus du TAJ et du Fichier des personnes recherchées.

Quatre scénarios d’attaque, les mêmes failles récurrentes

Le Baromètre identifie très concrètement quatre modes opératoires dominants. Le premier repose sur la compromission d’un prestataire : un accès légitime suffit à ouvrir les données de millions de clients. Le deuxième combine phishing et absence ou contournement du MFA (NDLR : authentification multifactorielle). Dans ce cas, l’attaque emprunte les chemins de l’utilisateur légitime, sans exploits techniques.

Le troisième scénario exploite les mauvaises configurations cloud. Des données accessibles sans authentification forte peuvent rester exposées des mois sans déclencher d’alerte. Enfin, le quatrième combine ransomware et exfiltration préalable. Les données volées deviennent alors  un levier de pression autonome, indépendamment du chiffrement.

Point commun à ces quatre scénarios ? ils exploitent des failles connues, documentées, évitables.

Des données immuables, un risque permanent

Certaines données volées ne se réinitialisent pas. C’est le cas bien évidemment de votre numéro de Sécurité sociale, attribué à la naissance, unique et permanent.  Les données biométriques, empreintes, reconnaissance faciale, sont aussi impossibles à modifier. Le profil génétique est donc irrémédiable.

Contrairement à un mot de passe, ces informations ne disposent d’aucun mécanisme de récupération. Une fois exposées, elles constituent un risque de fraude ou d’usurpation d’identité pour toute la durée de vie de la personne concernée. C’est pourquoi le RGPD les classe depuis longtemps comme des données très sensibles. Leur présence dans des incidents comme celui de Weda (dossiers médicaux complets, numéros de Sécurité sociale) nous fait mesurer l’ampleur réelle des dommages.

Prévenir et gérer : les leviers qui changent la donne

Face à ce constat, le Baromètre identifie quelques actions concrètes. Réduire la surface d’exposition consiste d’abord à limiter par exemple la centralisation des données et à raccourcir les durées de conservation. Cette mesure ne bloque pas les intrusions, mais en réduit immédiatement l’ampleur.

Autre rappel, la gestion stricte des accès et des identités (MFA généralisée, droits minimaux, accès temporaires) reste le levier le plus efficace pour contenir la propagation après compromission. La sécurisation des environnements cloud repose en effet moins sur la technologie que sur la gouvernance : configurations auditées, responsabilités clarifiées. Le chiffrement, enfin, ne prévient pas la fuite mais en annule les conséquences en cas d’exfiltration.

Côté gestion de crise, la coordination entre RSSI, DPO, équipe juridique et direction conditionne l’impact réel d’un incident. Moralité ? Les organisations les mieux armées ne sont pas celles qui n’ont pas de fuite. Ce sont celles qui savent revenir rapidement à un état maîtrisé.

Cinq erreurs qui transforment un incident en catastrophe

Cette édition du baromètre insiste sur un autre point. Si beaucoup d’organisations ne trébuchent pas sur la technique, elles trébuchent en revanche sur leur propre organisation au moment où chaque heure compte.

Et le baromètre de lister les erreurs fréquentes. La première « consiste à attendre d’avoir toutes les réponses avant d’agir ». Ainsi, retarder la qualification ou la notification dans l’espoir de clarifier la situation fait perdre du temps critique. La deuxième erreur revient à sous-estimer l’impact humain : raisonner uniquement en termes techniques ou juridiques conduit à minimiser le risque réel pour les personnes concernées, avec des conséquences réglementaires et réputationnelles qui frappent a posteriori.

Troisième écueil : gérer l’incident en silos. RSSI, DPO, IT, juridique et communication agissent encore trop souvent de manière séquentielle. Or une décision technique produit des effets juridiques ou médiatiques immédiats. Quatrième erreur : découvrir la CNIL au moment de la crise. L’absence de relation préalable alourdit la notification et complique le dialogue en situation d’urgence.

Cinquième erreur, la plus dévastatrice : minimiser publiquement tout en corrigeant en privé. Les messages incohérents entre communication externe, notification réglementaire et informations transmises aux partenaires constituent le principal facteur de perte de confiance observé en 2025. La crédibilité d’une organisation se joue dans les premières heures. Elle ne se reconstruit pas facilement.