L’année 2024 restera comme un tournant dans la prise de conscience collective des risques liés à la cybersécurité. Portée par une série sans précédent de violations de données personnelles, cette année a vu exploser les demandes d’assistance, les interrogations citoyennes et les initiatives publiques pour tenter de contenir un phénomène désormais systémique. Le rapport annuel 2024 de Cybermalveillance.gouv.fr en donne la mesure : +82 % de demandes d’assistance liées à des fuites de données, plus de 706 000 consultations de contenus dédiés, et des millions de citoyens potentiellement touchés par ces expositions massives.
Une vague de fuites de données sans précédent
Free, France Travail, Viamedis, Almerys, Boulanger, Cultura, FFF… les noms d’entreprises et institutions affectées en 2024 égrènent une liste vertigineuse de failles ayant exposé les données de dizaines de millions de Français. Ces attaques n’ont épargné aucun secteur : santé, télécoms, emploi, grande distribution, services publics, sport ou banque. Dans une grande majorité des cas, les cybercriminels ont profité de défauts de sécurisation, d’accès externes mal protégés, d’identifiants compromis ou d’attaques indirectes via la chaîne d’approvisionnement.
Les données exfiltrées comprennent des éléments hautement sensibles : identité complète, numéros de sécurité sociale, coordonnées bancaires, historiques d’achats, données de santé ou encore identifiants de connexion. Des informations exploitables pour du phishing ciblé, de l’usurpation d’identité, des fraudes à la carte bancaire ou encore des extorsions.
Zoom sur quelques cas emblématiques
Le cas de France Travail a marqué les esprits par son ampleur : plusieurs millions de profils d’utilisateurs compromis, dont des informations administratives, professionnelles et personnelles. Cette brèche a mis en évidence la difficulté à protéger des bases massives de données sensibles dans des infrastructures publiques vieillissantes.
Autre exemple frappant : la double attaque contre les organismes de tiers payant Viamedis et Almerys, qui a exposé des données de santé de millions de bénéficiaires de complémentaires santé. Ces événements ont provoqué un effet de chaîne : appels en masse aux mutuelles, campagnes de phishing opportunistes, hausse des signalements à la CNIL.
Dans le secteur privé, Boulanger et Cultura ont également subi des intrusions révélant des failles dans la gestion des comptes clients, souvent liées à des mots de passe faibles ou réutilisés. Ces incidents illustrent l’importance de politiques de sécurité internes robustes, même pour des structures très grand public.
Une prise en charge réactive et une mobilisation de l’état
Face à cette avalanche de compromissions, les acteurs institutionnels se sont rapidement coordonnés : CNIL, Parquet spécialisé J3, Police judiciaire et Gendarmerie nationale ont œuvré en lien étroit avec Cybermalveillance.gouv.fr pour informer, accompagner et permettre aux victimes de réagir. Des lettres-plainte ont été mises à disposition en ligne, notamment dans les cas France Travail, Viamedis ou FFF.
Cette réactivité a aussi reposé sur la plateforme elle-même, qui a battu ses records de fréquentation : 5,4 millions de visiteurs (+47 %) en 2024, dont une part importante en lien direct avec ces incidents. Le lancement du service 17Cyber en fin d’année a renforcé encore la capacité d’accueil, d’orientation et de mise en relation avec des prestataires labellisés ou les forces de l’ordre.
Des impacts à long terme pour les victimes
Les conséquences d’une violation de données ne se limitent pas à la perte d’informations personnelles. Elles ouvrent la voie à une cascade de cybermalveillances : phishing, piratage de comptes, fraude bancaire, escroquerie au faux conseiller ou encore usurpation d’identité.
Les chiffres sont parlants : +603 % de fraudes au virement signalées, +109 % pour les arnaques aux placements, +924 % de demandes d’assistance pour sextorsion. De façon systémique, ces incidents alimentent l’ensemble de l’écosystème cybercriminel en données revendues ou recyclées dans d’autres campagnes malveillantes.
Un signal d’alarme pour les entreprises et prestataires
Les attaques de 2024 ont mis en lumière la responsabilité croissante des prestataires et sous-traitants dans la sécurité de la donnée. Dans plusieurs cas (tiers payant, partenaires techniques, solutions cloud), la faille initiale ne relevait pas de l’entreprise cible mais d’un chaînon externe. Cela renforce l’impératif de vérifier les clauses contractuelles, les niveaux de sécurité imposés, et les mécanismes de réversibilité et de surveillance.
L’obligation de conformité au RGPD, en particulier ses articles 32 à 36, impose aux responsables de traitement de garantir la sécurité des données, d’encadrer les sous-traitants, et de notifier toute faille aux autorités dans des délais stricts. La CNIL, en 2024, a multiplié les rappels à l’ordre et les contrôles, et pourrait accentuer ses sanctions dans les mois à venir.
Pourquoi les secteurs santé, emploi et distribution sont particulièrement ciblés
Ces secteurs sont visés pour une raison simple : le volume et la sensibilité des données qu’ils traitent. La santé regorge d’informations personnelles à haute valeur pour les fraudeurs (dossier médical, historique de soins, mutuelles). Le secteur de l’emploi centralise des données administratives, fiscales et bancaires. Et la distribution, en lien direct avec les consommateurs, est un point d’entrée idéal pour du phishing ou de l’hameçonnage ciblé.
Leur dépendance croissante aux outils numériques — plateformes RH, portails patients, interfaces e-commerce — en fait des cibles faciles dès lors qu’un maillon technique est mal sécurisé.
L’IA, le cloud et le télétravail : vecteurs de risque émergents pour 2025
Les tendances observées en 2024 laissent présager une évolution des menaces pour 2025. L’usage croissant de l’intelligence artificielle dans la gestion des systèmes, parfois sans contrôle humain strict, expose les organisations à des scénarios d’exploitation automatisée de vulnérabilités. Les modèles d’IA peuvent aussi amplifier les fuites en les exploitant pour créer des attaques plus crédibles.
Le cloud, omniprésent dans la transformation numérique, constitue un risque en cas de mauvaise configuration. Les erreurs d’exposition publique (S3, bases non protégées, buckets mal configurés) sont fréquentes et souvent sous-estimées.
Enfin, le télétravail, devenu structurel, élargit la surface d’attaque : connexions à distance mal sécurisées, VPN partagés, appareils personnels insuffisamment protégés… autant de portes ouvertes si les politiques de sécurité ne suivent pas.
Sensibilisation et accompagnement : une stratégie en renfort
Le déploiement des dispositifs SensCyber et SenCy-Crise, les campagnes « Fausse Bonne Idée » et « ImpactCyber », ou encore les outils comme la MalletteCyber ont renforcé la prévention. Mais le niveau de maturité reste très inégal. Une collectivité sur dix déclare avoir déjà été victime d’une cyberattaque. Côté TPE/PME, nombre d’entre elles surestiment encore leur niveau de protection.
Il est essentiel que ces outils ne restent pas théoriques : la formation, l’audit régulier, la simulation de crise doivent devenir des réflexes. La sécurité ne peut plus être un projet ponctuel, mais un processus continu, soutenu par une gouvernance claire.
Perspectives : transformer la réaction en stratégie durable
2024 a démontré avec force que la violation de données personnelles n’est plus un incident isolé mais une dynamique continue, étendue à tous les secteurs et à tous les publics. Si la mobilisation publique s’est accrue, si les outils existent, l’enjeu réside maintenant dans leur appropriation massive par les structures concernées. La défense des données personnelles ne saurait reposer sur les seules victimes : elle est désormais un axe clé de la sécurité numérique collective.
Source : Cybermalveillance
