La réforme du marché de l’emploi fragilise la cybersécurité de France Travail

La réforme du marché de l'emploi fragilise la cybersécurité de France Travail

Les informations personnelles (nom, prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses e-mail et postale, numéros de téléphone) de 43 millions d’individus ont été exposées le 13 mars dernier par France Travail. Que ce soit les individus en quête d’emploi en ce moment, ceux qui se sont inscrits au cours des 20 dernières années ou même ceux qui ont simplement créé un compte candidat sur francetravail.fr. Le résultat d’une attaque contre les systèmes d’information de l’opérateur qui s’est déroulée du 6 février au 5 mars 2024.

Quelques jours après, le parquet de Paris avait ouvert une enquête qui conduisait à l’arrestation de trois individus d’une vingtaine d’années, accusés de s’être introduits dans les systèmes de France Travail par le détournement de comptes de Cap Emploi, réseau d’organismes de placement spécialisés dans l’accompagnement des personnes handicapées. Une fois que les comptes d’utilisateurs légitimes de Cap Emploi ont été récupérés, les pirates ont simplement contacté l’assistance pour demander la réinitialisation des codes d’inscription. Avec succès.

La simple analyse des faits soulève de nombreuses interrogations. Dans un premier temps – et même si, d’après Next, le vol de données se réduirait à 1 à 1,5 million de comptes, les pirates ayant sélectionné des données plutôt que de les évacuer en masse –, la portée des informations présentées soulève des questions. Pourquoi est-ce que France Travail garde les informations des demandeurs d’emploi pendant une période de 20 ans? En effet, en vertu de la loi, le code du travail stipule : ” Les données personnelles et les informations enregistrées dans le système d’information sont conservées pendant un délai maximal de vingt ans à partir de la date de cessation de l’inscription sur la liste des précaires. “

Des alertes ignorées selon la CGT

Le syndicat CGT de la DSI de France Travail souligne également les lacunes de la mise en œuvre opérationnelle de la réforme dans un courriel suite à une réunion du CSE le 28 mars : « Cette attaque est le résultat de la décision assumée de la direction de la DSI de ne pas mettre en œuvre les préconisations sécuritaires nécessaires à l’ouverture de notre système d’information aux partenaires de France Travail », affirme le syndicat. Selon lui, le risque associé à cette mise en réseau avait pourtant été repéré dès 2022 et la mise en œuvre de l’authentification multifacteur avait été recommandée à cette époque.

De plus, la manière dont l’attaque a été menée et le communiqué qui l’a officialisée semblent indiquer que les utilisateurs de Cap Emploi bénéficiaient des mêmes droits que ceux de Pôle Emploi. Selon la CGT dans son courriel interne du 2 avril, les employés de Cap Emploi ont des autorisations d’accès non limitées. Et il convient également de noter que les prestataires qui travaillent pour la DSI, que ce soit sur site ou à distance, « ont les mêmes droits que les internes, que ce soit dans le domaine de la qualification ou de la production du SI ». Selon le syndicat, la direction de France Travail doit donc mettre en place une authentification multifacteur pour « tous les partenaires et salariés », ainsi que l’application rigoureuse du principe de moindre privilège.

Au cours de la procédure législative, ce danger intrinsèquement associé à la connexion d’utilisateurs externes aux systèmes d’information clés de l’ancien Pôle Emploi n’a été mis en évidence que de manière limitée. L’analyse d’impact, qui constitue néanmoins l’un des rôles, souligne les contraintes que pose « l’absence de connexion entre les systèmes d’information et le manque de partage de données » pour l’efficacité des politiques publiques de relance professionnelle. Cependant, sans prendre en compte les dangers que cette mise en commun comporte.

Le Conseil constitutionnel a également censuré en partie la loi Plein Emploi le 14 décembre 2023, notamment certaines dispositions de cet article 4 en raison d’une “atteinte excessive au droit au respect de la vie privée”. Cependant, en approuvant principalement le concept d’ouverture des systèmes d’information et de partage de données. Avec les répercussions que l’on connaît moins d’un trimestre après.

Pourquoi se former au digital learning chez Skills4All ?

Skills4All est un certificateur et organisme de formation en digital learning, qui vous prépare aux certifications les plus reconnues sur le marché : PMI, AXELOS, IASSC, DevOps Institute, PEOPLECERT, GASQ, CFTL, BESTCERTIFS, dans les domaines de la cybersécurité, de l’IT, la data, l’IA, l’agilité, Scrum, Prince2, Lean Six Sigma, Gestion de projet et bien plus encore.

Avec nous, c’est quand vous voulez, où vous voulez, 24/7/365, à votre rythme.

Nous proposons des formations certifiantes, éligibles au CPF et reconnues dans le monde entier.

Skills4All est accrédité par le COFRAC (Comité Français d’Accréditation) en tant que certificateur dans le domaine de la sécurité de l’information : nos certifications sont les meilleures du marché et répondent à la norme ISO 17024, la plus exigeante aujourd’hui. Obtenir une certification Skills4All ou BestCertifs aujourd’hui c’est le gage d’une reconnaissance forte du marché qui valorisera vos compétences.

N’attendez plus, réservez votre formation 100% en ligne immédiatement ou contactez-nous au (+33) 1-85-39-09-73 ou sur contact@skills4all.com.

Table des matières

Vous appréciez cet article. Merci de le partager !

Articles recommandés

S’inscrire à la newsletter