Une poignée d’identifiants, des millions de données dérobées. Adecco, Viamedis, Almerys, France Travail : ces noms résonnent comme autant d’alertes rouges pour la cybersécurité française.
Stagiaires, partenaires, prestataires… Tous ces accès, censés être légitimes, sont aujourd’hui (bien trop souvent) des portes d’entrées pour les cybercriminels afin de s’introduire dans les systèmes, siphonner des données et organiser des fraudes à grande échelle. Parce que la cybersécurité commence toujours par une bonne gestion des accès, retours sur 3 cyberattaques emblématiques.
Adecco : le procès qui révèle des accès mal maîtrisés
Le procès des responsables du piratage de l’entreprise de recrutement Adecco, datant de 2022, s’est ouvert en juin 2025. L’histoire est édifiante : un stagiaire, promis à 15 000 euros sur le darknet (qu’il n’aura jamais touché), délivre ses accès professionnels à des pirates informatiques. Résultat : les cybercriminels ont accédé massivement à la base de données d’Adecco, contenant des informations sensibles sur des dizaines de milliers d’intérimaires, et organisé des prélèvements frauduleux sur leurs comptes bancaires.
Les conséquences de cette mauvaise gestion des accès et des données sont lourdes. À minima, le principe du moindre privilège et la mise en place d’une authentification multifacteur (MFA) auraient pu limiter la casse. La gestion du besoin d’en connaître est tout aussi essentielle : comment se fait-il qu’un stagiaire, quelle que soit sa bonne foi, puisse disposer de credentials offrant autant de droits ?
Cet incident rappelle l’importance de bien gérer les identifiants et les accès pour l’ensemble des collaborateurs mais aussi pour les partenaires, prestataires et stagiaires/alternants, en se posant systématiquement les bonnes questions : qui, pourquoi, et pour combien de temps ?
Il souligne aussi la nécessité d’observer et d’analyser les comportements « normaux » des utilisateurs au sein de l’entreprise, ainsi que la capacité à détecter et analyser les comportements suspects, même lorsque les accès sont légitimes.
Les équipes IT doivent être en mesure de bloquer, manuellement ou automatiquement, les accès illicites et les comportements déviants par rapport aux fonctions des utilisateurs. Autant d’éléments essentiels pour renforcer la sécurité et l’effi cacité opérationnelle !
Un conseil pour toutes les entreprises, (on ne le répétera jamais assez) :
– Forcez l’usage de la MFA,
– Maîtrisez fi nement les droits d’accès avec une gestion au moindre privilège par défaut,
– Déployer des alertes sur les comptes sensibles
– Et donnez des accès “cachés” à vos stagiaires (une fonctionnalité très maline imaginée par notre partenaire LockSelf et que je vous invite à tester grâce à leur essai gratuit.)
Accès fournisseurs : trop souvent une porte dérobée pour les cybercriminels
On se souvient également, fin janvier 2024, des deux principaux opérateurs français de gestion de tiers payant, Viamedis et Almerys, qui ont été victimes d’une cyberattaque de grande ampleur, exposant les données personnelles de plus de 20 millions de personnes.
Les pirates ont profité de l’usurpation d’identifiants de professionnels de santé pour s’infiltrer dans les systèmes et exfiltrer des informations sensibles telles que le nom, prénom, date de naissance, numéro de Sécurité sociale, nom de l’assureur et garanties du contrat souscrit etc… Dès la détection, les plateformes ont été mises hors service pour limiter l’impact, des plaintes ont été déposées auprès des autorités compétentes et les assurés concernés ont été informés, conformément au RGPD.
Comme le montre l’exemple de Viamedis et Almerys, les accès accordés aux partenaires, fournisseurs, et prestataires externes constituent un risque majeur pour la sécurité des entreprises. Trop souvent, ces identifiants servent de porte dérobée aux cybercriminels, qui profitent de moindres contrôles ou de la confiance aveugle accordée à certains partenaires pour s’introduire dans les systèmes informatiques. Une fois à l’intérieur, les attaquants peuvent exfiltrer des données sensibles, installer des malwares ou lancer des attaques de grande ampleur. Les entreprises doivent donc redoubler de vigilance et imposer une gestion rigoureuse des droits d’accès, même (et particulièrement !) pour les fournisseurs, afin de limiter ce vecteur d’attaque avec une bonne segmentation des droits et privilèges d’accès aux différentes ressources de l’entreprise.
Pour éviter ces déboires, on opte pour un logiciel de gestion des accès qui garantit le respect des bonnes pratiques de l’ANSSI en matière de gestion des mots de passe et qui intègre nativement la gestion des fournisseurs et l’implémentation de règles d’accès (limités dans le temps, paramétrable par adresse IP, mot de passe utilisable pendant la mission mais non-accessible en clair etc…).
Droits d’accès (il)légitimes chez France Travail
En février 2024, France Travail (ex-Pôle emploi) a subi l’une des cyberattaques les plus massives jamais observées sur le territoire français. Les hackers malveillants se sont introduits dans le système en usurpant les identifiants de conseillers Cap emploi, un organisme partenaire chargé de l’accompagnement des personnes en situation de handicap. Pendant près d’un mois, les cybercriminels ont profité de cet accès légitime pour explorer et exfiltrer les données personnelles de plus de 43 millions de personnes : demandeurs d’emploi actuels, anciens inscrits sur les 20 dernières années, mais aussi des individus ayant simplement créé un espace candidat sur francetravail.fr.
L’attaque, détectée grâce à des requêtes suspectes réalisées en dehors des horaires habituels, a permis le transfert de près de 25 Go de données sensibles : noms, prénoms, dates de naissance, numéros de Sécurité sociale, identifiants France Travail, adresses mail et postales, numéros de téléphone. Seules les informations bancaires et les mots de passe n’ont pas été touchés, mais le volume et la nature des données exposées en font une cible de choix pour le phishing et l’usurpation d’identité.
France Travail a immédiatement coupé les accès compromis, déposé plainte et notifié la CNIL, tout en invitant les victimes potentielles à la plus grande vigilance face aux tentatives d’escroquerie.
Une cyberattaque qui rappelle que même pour vos “partenaires de confiance”, il est important de surveiller les comportements inhabituels sur les comptes, généraliser la MFA et chiffrer l’accès aux données sensibles de bout en bout.
