Fréquence et portée inquiétantes

Début 2026, la France a connu une série de cyberattaques d’une ampleur inédite. Données de santé, comptes bancaires, fédérations sportives : des dizaines de millions de Français sont concernés. Ces incidents révèlent des failles structurelles que l’ISO 27001 permet précisément d’adresser.

Cegedim : 15 millions de dossiers patients dans la nature

Fin 2025, un attaquant a exploité des comptes utilisateurs du logiciel médical MLM, édité par Cegedim Santé. Les données de près de 15 millions de patients ont été exfiltrées et mises en vente sur le dark web. Pour environ 164 000 personnes, des données potentiellement sensibles ont été compromises : les « zones de commentaires libres » des médecins contenaient parfois des annotations intimes — antécédents psychiatriques, orientation sexuelle, addictions — bien loin du caractère « administratif » revendiqué par l’éditeur.

L’incident n’a été rendu public que le 26 février 2026 par France 2, plus de deux mois après sa détection.

Sources : Communiqué Cegedim (26/02/2026) · France Info (27/02/2026) · France Assos Santé · DSIH – analyse des zones de commentaires

FICOBA : 1,2 million de comptes bancaires exposés

Le 18 février 2026, la DGFiP a révélé qu’un acteur malveillant avait accédé au fichier national des comptes bancaires en usurpant les identifiants d’un fonctionnaire. Pendant 16 jours (du 28 janvier au 13 février), l’attaquant a extrait les données de 1,2 million de comptes : coordonnées bancaires, identités et adresses des titulaires.

Sources : Communiqué DGFiP / impots.gouv.fr · economie.gouv.fr · Fédération Bancaire Française

Fédérations sportives : une hémorragie en série

Depuis fin 2025, une vingtaine de fédérations sportives ont été piratées via la compromission de comptes clubs sur leurs outils de gestion des licences. Le bilan : 11 millions de lignes pour l’athlétisme, 2,9 millions pour la gymnastique (historique depuis 2004), 1,2 million pour le tennis, 2,4 millions pour le judo, et des dizaines de millions de données au total — incluant des informations sur des mineurs.

Sources : FFGym – communiqué officiel · France Info – FF Athlétisme (21/02/2026) · Décideurs du Sport (27/02/2026) · ZATAZ

Ces trois cas partagent des failles communes, toutes adressées par la norme ISO 27001:2022. Voyons un peu.

La gestion des accès reste le maillon faible.

Un seul identifiant usurpé a suffi pour FICOBA. Des comptes clubs compromis par phishing ont ouvert les portes des fédérations. Pas de MFA, des droits trop larges, une détection tardive.

→ Mesures A.5.15 à A.5.18 et A.8.2 à A.8.5 (contrôle d’accès, gestion des identités, droits à privilèges).

La chaîne de sous-traitance démultiplie les risques

Cegedim est un prestataire ; les outils des fédérations proviennent souvent d’un même éditeur tiers. Une vulnérabilité chez le sous-traitant expose l’ensemble de ses clients.

→ Mesures A.5.19 à A.5.23 (sécurité dans les relations fournisseurs).

La conservation excessive aggrave l’impact

Des données remontant à 1999 pour la FF Ski, à 2004 pour la FFGym. Plus la surface de données est grande, plus une fuite est dévastatrice.

→ Mesure A.5.33 (protection des enregistrements) et principe de minimisation du RGPD.

La détection et la réponse restent trop lentes

Deux mois avant la révélation chez Cegedim, 16 jours d’intrusion pour FICOBA, des fédérations alertées par la publication de leurs données sur des forums.

→ Mesures A.5.24 à A.5.28 (gestion des incidents) et A.8.15 à A.8.16 (journalisation/surveillance).

Notre cabinet recommande cinq chantiers immédiats :

1. Déployer le MFA sur tous les accès critiques, sans exception. Vérifiez également la légitimité des comptes actifs.
2. Auditer la sécurité de vos prestataires : clauses contractuelles, droit d’audit, suivi régulier. L’affaire Cegedim rappelle que la confiance n’exclut pas le contrôle.
3. Purger les données obsolètes : moins de données stockées = moins d’impact en cas de fuite.
4. Tester votre capacité de réponse aux incidents : un plan de crise qui n’a jamais été exercé n’est qu’un document de conformité.
5. Sensibiliser, encore et toujours : le phishing reste le vecteur d’entrée numéro un.

Quoi qu’il en soit, ces actions nécessitent de s’y préparer. Elles ne se règlent pas en quelques tâches simples et doivent être incluses dans une gestion plus globale de la sécurité de l’information.

Consultez notre série INDISEC, ensemble d’articles ayant pour objectifs de vous aider à prioriser les actions utiles et incontournables de sécurité à mettre en oeuvre au sein d’une organisation ! 
Le premier épisode est disponible ici !