Ce lundi 22 décembre, des clients de la Banque Postale se retrouvent bloqués hors de leurs comptes. La Poste évoque un incident en cours, sur fond d’attaque DDoS, à l’approche de Noël.
Depuis le lundi 22 décembre au matin, la Banque Postale subit de fortes perturbations d’accès à sa banque en ligne et à son application mobile, confirmées sur X par l’établissement. La Poste a indiqué que l’incident précédent, survenu moins de 48 h plus tôt, provenait d’une cyberattaque par déni de service distribué (DDoS), visant à saturer les serveurs jusqu’à la rupture. La société assure que les données clients n’ont pas été impactées, tout en reconnaissant des effets sur la distribution de colis et de courriers. Dans le même temps, des clients de banques du groupe BPCE ont signalé des difficultés, présentées comme techniques.
Un lundi sous tension pour les accès bancaires
L’incident tombe au pire moment : la dernière ligne droite avant Noël, quand les achats s’enchaînent et que les comptes sont consultés plus souvent, pour vérifier un paiement, un virement, ou un solde avant un départ. Depuis ce lundi matin, de nombreux clients de la Banque Postale disent ne plus réussir à accéder à leurs services, que ce soit via l’espace en ligne ou l’application mobile. Le contexte aggrave la perception : le week-end aurait déjà été « compliqué » par des difficultés d’accès, et la panne de ce lundi donne le sentiment d’une rechute.
La Banque Postale a reconnu publiquement la perturbation. Sur X, l’établissement explique que « depuis tôt ce matin » un incident affecte l’accès à la banque en ligne et à l’application, et que la résolution est en cours. La formulation est classique en gestion de crise : reconnaître le problème, indiquer qu’une équipe travaille dessus, promettre un retour à la normale « rapidement ». Dans les faits, ce type de message vise aussi à limiter l’effet boule de neige, lorsque les utilisateurs multiplient les tentatives de connexion, ce qui peut accroître la charge et empirer une saturation.
Le service n’est pas entièrement à l’arrêt. La Banque Postale précise que les paiements sur internet restent possibles avec une authentification par SMS. Elle ajoute que les paiements par carte bancaire sur terminal en magasin demeurent opérationnels, tout comme les virements via Wero. Ce point est central : l’indisponibilité touche surtout l’interface client (consultation et accès), alors que certains rails de paiement continuent de fonctionner. Pour les clients, la nuance change tout, car elle réduit le risque immédiat de blocage total des dépenses, même si l’impossibilité de vérifier un compte ou de valider une opération via l’app reste très pénalisante.
DDoS : une cyberattaque de saturation, pas une intrusion
L’élément le plus sensible dans cette séquence vient d’une information transmise à BFMTV : La Poste aurait indiqué que l’incident précédent résultait d’une cyberattaque. Il s’agirait d’un déni de service distribué, plus connu sous l’acronyme DDoS. Le mécanisme est différent d’un piratage visant à voler des données. Dans un DDoS, l’assaillant ne cherche pas forcément à entrer dans le système comme un cambrioleur, mais à empêcher l’accès, comme si une foule bloquait toutes les portes. L’objectif est de submerger les serveurs par un volume de requêtes, jusqu’à provoquer ralentissements, erreurs, voire indisponibilité.
Le fait que l’attaque soit dite « distribuée » compte : la charge ne vient pas d’une seule source, mais d’un ensemble de machines, souvent des équipements compromis à distance. Cette dispersion rend la défense plus difficile, car il faut distinguer le trafic légitime, celui des vrais clients, des flux malveillants qui miment parfois des comportements normaux. Quand l’attaque vise les points d’entrée les plus visibles, comme la banque en ligne ou l’app, l’impact est immédiat et public.
La Poste a tenu un message de réassurance : selon l’entreprise, la cyberattaque n’aurait eu aucun effet sur les données clients. Cette affirmation a un double enjeu. D’une part, elle cherche à éviter la panique, car, dans l’imaginaire collectif, « cyberattaque » rime souvent avec « fuite d’informations ». D’autre part, elle trace une frontière entre disponibilité et confidentialité. On peut subir une attaque de saturation, et donc un arrêt de service, sans que cela implique une compromission des bases de données. Cela ne signifie pas que l’événement est anodin : une indisponibilité massive, surtout à une période de forte activité, peut produire des conséquences économiques, opérationnelles et réputationnelles.
Un autre point rapporté est notable : la distribution des colis et du courrier à domicile aurait, elle aussi, été affectée. Cette extension du problème vers des activités physiques rappelle une réalité souvent sous-estimée : une attaque informatique peut perturber des chaînes très concrètes, quand elles dépendent d’outils numériques, de systèmes de planification ou d’applications de suivi. Sans ajouter d’éléments non fournis, on peut retenir une leçon : l’attaque n’est pas seulement une gêne pour la consultation d’un solde, elle peut toucher la continuité d’activité d’un groupe, au-delà du seul périmètre bancaire.
Pour les équipes de sécurité, ce type d’épisode se joue sur plusieurs fronts. Il faut rétablir l’accès, filtrer le trafic, protéger les infrastructures, tout en communiquant sans se contredire. Le fait que la Banque Postale insiste sur les paiements encore possibles, et que La Poste souligne l’absence d’impact sur les données, montre une stratégie de message : limiter la peur d’une compromission, et prouver que l’essentiel des usages du quotidien reste, au moins en partie, assuré.
BPCE aussi touché, mais une cause présentée comme technique
La matinée du 22 décembre ne concerne pas uniquement la Banque Postale. Des clients de la Caisse d’épargne et de la Banque populaire, deux enseignes du groupe BPCE, ont également signalé des difficultés de connexion. À ce stade, les problèmes rapportés semblent renvoyés à un incident technique, distinct du cas Banque Postale, tel que présenté dans les informations disponibles. La coïncidence, dans un laps de temps identique, alimente forcément les spéculations côté utilisateurs, qui peuvent y voir une attaque plus large contre le secteur bancaire.
Un message observé après connexion à l’application Caisse d’épargne évoque des « perturbations » possibles lors de la validation de paiements en ligne via SecurPass. Là encore, l’angle cyber est immédiat, même si la cause est décrite comme technique : les mécanismes d’authentification forte sont devenus un point de friction critique. Quand la validation d’un paiement échoue, l’utilisateur perçoit une panne, mais l’écosystème voit surtout un maillon de confiance qui vacille : sans validation, pas de transaction, et sans transaction, le commerce s’arrête.
La proximité de ces incidents, qu’ils soient malveillants ou non, rappelle une fragilité commune : les services financiers reposent sur des couches numériques très exposées, en particulier les portails web, les applications mobiles, et les briques d’authentification. Un DDoS, s’il est en cause, vise précisément ces points de passage obligés. Un incident technique, lui, peut produire des effets comparables côté client, avec une différence majeure pour les responsables sécurité : l’un se traite comme une crise de cybersécurité avec un adversaire actif, l’autre comme une défaillance interne à diagnostiquer et corriger. Dans les deux cas, la communication devient une composante opérationnelle, car elle influence le comportement des utilisateurs, et donc la charge sur les systèmes.
Le précédent de moins de 48 h est aussi un signal. La Banque Postale avait indiqué, lors du premier épisode, que l’accès à l’espace client et à l’application avait été rétabli le jour même, tout en maintenant une « surveillance active » du fonctionnement. Revoir des perturbations si vite, qu’elles soient liées à la même cause ou non, pose une question de résilience : comment absorber une montée en charge hostile, ou une succession d’incidents, sans priver les clients d’accès durablement ? Et comment distinguer, en temps réel, un afflux légitime d’utilisateurs inquiets, d’un trafic artificiel injecté pour faire tomber la plateforme ?
