1,2 Million d’IBAN Consultés en Seize Jours : Ce Que l’on Sait
Le 18 février 2026, le ministère de l’Économie annonce l’une des violations de données financières les plus graves de l’histoire administrative française. Un acteur malveillant a accédé illégitimement au FICOBA (Fichier National des Comptes Bancaires et Assimilés), exposant les données de 1,2 million de comptes bancaires sur une période de seize jours, du 28 janvier au 13 février 2026. Les informations compromises comprennent les coordonnées bancaires complètes (RIB et IBAN), l’identité des titulaires et leurs adresses postales. Aucun identifiant fiscal n’a été consulté, selon les autorités.
Le vecteur d’attaque est redoutablement simple : l’intrus a usurpé les identifiants d’un fonctionnaire disposant d’accès au fichier dans le cadre des échanges d’information entre ministères. En seize jours de consultation active, aucune alarme ne s’est déclenchée. Cette faille ne représente pas une vulnérabilité technique majeure dans le système FICOBA lui-même, mais un échec manifeste de la gestion des accès inter-ministériels et de la surveillance comportementale des connexions.
L’incident survient dans un contexte de crise cyber sans précédent pour l’État français : depuis janvier 2026, plus de 300 services publics et privés ont été compromis, exposant selon le site frenchbreaches.com quelque 250 millions de données sur le seul premier semestre. FICOBA s’inscrit dans une série noire qui inclut le piratage de l’ANTS (11,7 millions de comptes, avril 2026), la messagerie Tchap (73 467 fonctionnaires) et la plateforme B2B d’ENI France (89 000 comptes professionnels).
Qu’est-ce que FICOBA, le Fichier que Personne ne Connaissait
FICOBA est géré par la Direction Générale des Finances Publiques (DGFiP) sous tutelle du ministère de l’Économie. Ce registre national recense l’ensemble des comptes bancaires ouverts dans les établissements français, soit environ 300 millions de comptes couvrant tous les types d’établissements actifs sur le territoire. Contrairement à une idée reçue, FICOBA n’est pas un portail en ligne accessible au grand public. Il sert principalement aux échanges administratifs entre ministères, notamment pour vérifier les coordonnées bancaires dans le cadre de procédures fiscales, sociales ou judiciaires : versement d’allocations, saisies administratives, remboursements fiscaux.
Les champs stockés dans FICOBA incluent : le RIB (Relevé d’Identité Bancaire), l’IBAN complet, l’identité complète du titulaire (nom, prénom), l’adresse postale et le numéro de compte. L’identifiant fiscal, le solde, les mouvements et les codes d’accès ne figurent pas dans ce fichier. C’est précisément cette architecture limitée qui a conduit les autorités à présenter le risque de fraude bancaire directe comme faible, tout en reconnaissant un risque significatif d’attaques par ingénierie sociale.
La consultation de FICOBA est normalement encadrée par une liste restreinte de fonctionnaires accrédités. Le système d’échange inter-ministériel permettant cet accès ne disposait pas d’authentification multifacteur (MFA) pour tous les profils en lecture, selon les premiers éléments de l’enquête. Cette lacune, courante dans les architectures SI héritées des années 2000, constitue le talon d’Achille que l’attaquant a su exploiter. L’accès compromis avait des droits en lecture partielle, ce qui explique que seuls 1,2 million de comptes sur 300 millions, moins de 1% du total, aient été consultés.
Chronologie de l’Attaque : Seize Jours Sans Détection
La reconstruction chronologique officielle de l’incident, telle que publiée par le communiqué officiel du ministère de l’Économie du 18 février 2026, révèle une fenêtre d’exposition exceptionnellement longue pour un fichier de cette sensibilité.
| Date | Événement | Source |
|---|---|---|
| 28 janvier 2026 | Début de l’intrusion : premier accès illégitime au fichier FICOBA via identifiants usurpés | DGFiP / i-leadconsulting.com |
| 28 jan. au 13 fév. 2026 | Consultation de 1,2 million de comptes sur 16 jours consécutifs | Communiqué DGFiP |
| 13 février 2026 | Détection de l’incident par les équipes informatiques de la DGFiP | Communiqué DGFiP |
| 13 février 2026 | Mesures immédiates de restriction d’accès mises en oeuvre pour stopper l’intrusion | Communiqué DGFiP |
| 18 février 2026 | Divulgation publique officielle par le ministère de l’Économie (Bercy) | presse.economie.gouv.fr |
| 18 février 2026 | Notification à la CNIL (Art. 33 RGPD) et dépôt de plainte pénale | Communiqué DGFiP |
| Fin février 2026 | Notifications individuelles envoyées par courriel aux personnes concernées | DGFiP |
| Juin 2026 | Enquête pénale toujours en cours, aucune attribution ni arrestation publique | Numerama / shattered.io |
Seize jours de consultation active avant détection représentent un délai alarmant pour un fichier contenant des données financières sur une portion significative de la population française. La directive NIS2, transposée en France depuis janvier 2025, impose une notification initiale aux autorités compétentes sous 24 heures après la détection d’un incident affectant des entités essentielles. Le délai de cinq jours entre la détection (13 février) et la divulgation publique (18 février) mérite un examen attentif de la CNIL.
Données Exposées : IBAN, Identité et Adresse, mais pas l’Identifiant Fiscal
La DGFiP a communiqué avec précision sur la nature des données compromises, en distinguant les champs effectivement consultés de ceux qui sont restés hors de portée de l’attaquant. Cette transparence partielle sur la nature exacte des informations volées est notable, même si le détail technique complet reste soumis à l’enquête judiciaire en cours.
| Type de donnée | Exposée | Risque principal pour la victime |
|---|---|---|
| RIB / IBAN complet | Oui | Prélèvement SEPA non autorisé, usurpation pour ouverture de compte |
| Nom et prénom complets | Oui | Phishing personnalisé, ingénierie sociale ciblée |
| Adresse postale | Oui | Courrier frauduleux, ciblage physique |
| Numéro de compte bancaire | Oui (via RIB) | Identification bancaire facilitée pour l’attaquant |
| Identifiant fiscal (numéro fiscal) | Non | Non applicable |
| Solde et mouvements du compte | Non | Non applicable |
| Codes PIN et mots de passe bancaires | Non | Non applicable |
| Identifiants de banque en ligne | Non | Non applicable |
L’absence de l’identifiant fiscal est importante : elle limite la capacité de l’attaquant à déclencher des procédures fiscales ou à usurper une identité complète dans un contexte de déclaration de revenus. Toutefois, la combinaison IBAN, identité complète et adresse postale constitue un ensemble suffisamment cohérent pour monter des campagnes de phishing hautement ciblées. Un courriel ou SMS qui cite le nom complet d’une victime, son adresse exacte et fait référence à sa banque (identifiable depuis le préfixe de l’IBAN) suscite une confiance bien supérieure à un message générique.
Sur le plan technique, un IBAN seul ne permet pas de débiter un compte. La Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) allemande le confirme dans ses guides grand public : un IBAN peut en revanche être utilisé pour initier un prélèvement SEPA si l’attaquant dispose d’un mandat fictif. Ce risque reste réversible : les victimes disposent d’un droit de contestation allant jusqu’à treize mois. Le risque d’usurpation d’identité pour ouvrir un compte ou souscrire un crédit au nom d’une victime est plus difficile à corriger a posteriori.
Le Vecteur d’Attaque : Usurpation d’Identifiants d’un Fonctionnaire
Le communiqué officiel du 18 février 2026 du ministère de l’Économie précise sans ambiguïté la méthode employée par l’attaquant : “Un acteur malveillant, qui a usurpé les identifiants d’un fonctionnaire disposant d’accès dans le cadre de l’échange d’information entre ministères, a pu consulter une partie de ce fichier qui recense l’ensemble des comptes bancaires ouverts dans les établissements bancaires français.”
Aucune attribution à un groupe spécifique, qu’il soit criminel ou étatique, n’a été rendue publique à ce jour. La DGFiP parle exclusivement d’un “acteur malveillant”. La question centrale porte sur la méthode d’obtention des identifiants du fonctionnaire : phishing classique, spear-phishing ciblant les agents de l’État, vol via une application tierce, ou compromission d’un prestataire informatique inter-ministériel. La durée de seize jours sans détection suggère un attaquant méthodique, qui a évité les comportements aberrants susceptibles de déclencher des alertes.
Cette technique de credential compromise représente selon le rapport ENISA Threat Landscape 2025 le premier vecteur d’attaque contre les systèmes gouvernementaux européens. Les campagnes de phishing ciblé sur les fonctionnaires ont progressé de 34% en Europe entre 2024 et 2026. L’ANSSI dispose depuis novembre 2024 d’un programme de sensibilisation dédié aux agents de l’État. L’incident FICOBA confirme que ce programme n’a pas encore atteint tous ses objectifs.
Réponse des Autorités : DGFiP, ANSSI et CNIL Mobilisés
La DGFiP a pris quatre mesures immédiates dès la détection le 13 février 2026. La première concerne la restriction immédiate des accès pour stopper l’intrusion en cours. La deuxième mobilise les équipes informatiques en lien avec le service du Haut Fonctionnaire de Défense et de Sécurité (HFDS) du ministère. La troisième déclenche la notification à la CNIL conformément à l’article 33 du RGPD. La quatrième enclenche le dépôt de plainte pénale auprès du parquet.
Le communiqué officiel de la DGFiP stipule : “Les équipes informatiques de la DGFiP sont pleinement mobilisées, en lien avec les services du ministère des finances (service du haut fonctionnaire de défense et de sécurité, HFDS) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI), afin de traiter cet incident et de renforcer la sécurité du système d’information.”
L’ANSSI a participé à la réponse technique sans publier de déclaration publique indépendante sur cet incident spécifique. Cette discrétion est cohérente avec sa doctrine : l’agence intervient en soutien opérationnel et publie ses analyses dans ses rapports annuels plutôt que dans l’urgence médiatique. Les banques françaises ont affiché des messages d’alerte dans leurs espaces clients numériques dès les jours suivant la divulgation du 18 février, incitant leurs clients à surveiller leurs relevés de compte. Selon Numerama, BNP Paribas, Société Générale, Crédit Agricole et LCL figuraient parmi les établissements ayant affiché ces alertes.
La CNIL a enregistré la notification de violation mais n’a pas encore rendu de décision publique sur d’éventuelles mesures correctives ou sanctions à la date de rédaction de cet article. L’enquête pénale reste ouverte. L’absence d’arrestation publique quatre mois après la divulgation suggère que l’attaquant a opéré avec un niveau de sophistication opérationnelle supérieur au suspect mineur de l’affaire ANTS.
Risques Concrets pour les 1,2 Million de Victimes
Les experts en sécurité des paiements identifient trois vecteurs de risque principaux pour les personnes dont les données FICOBA ont été exposées. Ces risques se distinguent par leur horizon temporel et leur réversibilité.
Le Phishing Personnalisé par Courriel et SMS
Avec un nom complet, une adresse postale et un IBAN, un attaquant peut construire un message d’hameçonnage très convaincant. Un exemple typique : “Votre compte bancaire (IBAN commençant par FRXX) présente une anomalie. Cliquez ici pour vérifier votre identité.” La mention de l’IBAN réel confère une apparence de légitimité difficile à contester pour un utilisateur non averti. Le taux de clic sur ce type de message ultra-personnalisé dépasse de 3 à 5 fois celui des phishing génériques, selon les données de l’APWG (Anti-Phishing Working Group) pour le premier semestre 2026. Les campagnes exploitant des données fraîchement volées atteignent leur pic d’activité entre quatre et sept mois après la fuite initiale, soit entre juin et septembre 2026 pour les données FICOBA.
Les Prélèvements SEPA Non Autorisés
Un attaquant disposant d’un IBAN peut tenter d’initier un prélèvement SEPA frauduleux depuis une boutique en ligne complice ou une infrastructure de paiement détournée. Ce risque reste réversible : le règlement SEPA accorde aux consommateurs un droit de contestation de huit semaines pour les prélèvements autorisés et jusqu’à treize mois pour les prélèvements non autorisés. Les victimes doivent surveiller leurs relevés mensuels et contester toute opération inconnue auprès de leur banque sans délai. Ce vecteur reste peu rentable pour les cybercriminels à grande échelle en raison de sa réversibilité, mais peut servir à financer des opérations plus ciblées.
L’Usurpation d’Identité pour Ouverture de Compte Bancaire
Le risque le plus difficile à inverser est l’utilisation des données pour ouvrir un compte bancaire ou souscrire un crédit au nom d’une victime. La combinaison identité complète, IBAN existant et adresse postale constitue un dossier presque suffisant pour certaines procédures d’ouverture de compte en ligne simplifiées. La Banque de France recommande dans ce cas de vérifier auprès du Fichier Central des Chèques (FCC) et du Fichier National des Incidents de Remboursement des Crédits aux Particuliers (FICP) si des incidents y ont été enregistrés à votre insu.
La France en Crise Cyber : 250 Millions de Données Exposées Depuis Janvier 2026
L’incident FICOBA ne survient pas de façon isolée. Depuis le début 2026, la France accumule les violations de données à un rythme qui interpelle l’ensemble de l’écosystème cyber européen. Le recensement publié sur mychromebook.fr portant sur les fuites de données françaises en 2026 comptabilise 25 incidents majeurs dans les seuls secteurs public et parapublic. Quatre incidents particulièrement significatifs dessinent une cartographie de la vulnérabilité de l’État français.
Le piratage de l’ANTS (Agence Nationale des Titres Sécurisés, rebaptisée France Titres), détecté le 15 avril 2026, surpasse FICOBA par son volume : 11,7 millions de comptes confirmés par le ministère de l’Intérieur, avec un hacker revendiquant 18 à 19 millions d’enregistrements sur BreachForums sous l’alias “breach3d”. Les données incluent noms, dates et lieux de naissance, courriels, adresses et numéros de téléphone. Un suspect mineur de 15 ans a été arrêté le 4 mai 2026 à l’issue d’une enquête conduite par l’Office Anti-Cybercriminalité (OFAC). Notre analyse détaillée de ce piratage ANTS est disponible ici.
La messagerie sécurisée Tchap, utilisée par les fonctionnaires de l’État, a subi une exfiltration de 73 467 comptes représentant 13,5 Go de données. La plateforme B2B d’ENI France a exposé 89 000 comptes professionnels lors d’une attaque revendiquée par Lapsus$. Ces incidents révèlent une vulnérabilité systémique qui dépasse la somme des failles individuelles : la France n’a pas de stratégie unifiée de gestion des identités et des accès (IAM) à l’échelle inter-ministérielle.
Tableau Comparatif des Grandes Violations de Données Publiques Françaises en 2026
| Incident | Date de détection | Personnes affectées | Données compromises | Auteur identifié |
|---|---|---|---|---|
| FICOBA / DGFiP | 13 fév. 2026 | 1,2 million | IBAN, identité complète, adresse postale | Inconnu (“acteur malveillant”) |
| ANTS / France Titres | 15 avr. 2026 | 11,7 millions (confirmés) | Identité, date et lieu de naissance, email, téléphone, adresse | “breach3d” (mineur 15 ans, arrêté le 4 mai) |
| Tchap (messagerie État) | 2026 | 73 467 fonctionnaires | Données de comptes, 13,5 Go exfiltrés | Non identifié publiquement |
| ENI France (plateforme B2B) | 2026 | 89 000 | Comptes professionnels | Lapsus$ (revendiqué) |
| Commission européenne (Europa.eu) | Mars 2026 | Non divulgué | Infrastructure cloud, 350 Go exfiltrés | ShinyHunters (revendiqué) |
Obligations RGPD et Conséquences Légales pour la DGFiP
La fuite FICOBA a déclenché plusieurs obligations réglementaires sous le Règlement Général sur la Protection des Données (RGPD) et la loi Informatique et Libertés.
L’article 33 du RGPD impose au responsable de traitement (la DGFiP) une notification à l’autorité de contrôle compétente dans un délai de 72 heures après avoir pris connaissance de la violation. La détection date du 13 février, la notification à la CNIL est décrite dans le communiqué comme ayant eu lieu “dès la détection de l’incident”. Ce délai semble respecté, même si sa vérification publique précise reste à confirmer par la CNIL elle-même.
L’article 34 du RGPD exige que les personnes concernées soient informées “dans les meilleurs délais” lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits. La DGFiP s’est engagée à notifier individuellement les 1,2 million de personnes concernées dans les jours suivant le 18 février, ce qui constitue une réponse conforme à la réglementation sur ce point.
Les sanctions applicables en cas de manquement atteignent 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Pour une administration publique, le régime diffère des entreprises privées : la CNIL dispose d’un pouvoir de mise en demeure et d’injonction, mais les sanctions pécuniaires directes contre l’État restent juridiquement complexes à appliquer. L’enjeu est surtout réputationnel et politique, avec une pression croissante du Parlement européen pour durcir l’application du RGPD aux administrations publiques. À titre de comparaison, l’ICO britannique a infligé 963 000 livres sterling à deux entreprises en juin 2026 pour une brèche affectant 633 000 personnes.
La plainte pénale déposée par la DGFiP ouvre une enquête judiciaire distincte. L’Office Anti-Cybercriminalité (OFAC), unité spécialisée de la police judiciaire française, est l’organisme le plus susceptible d’avoir été mandaté sur ce dossier, sur le modèle de l’affaire ANTS. L’absence d’arrestation publique quatre mois après la divulgation indique soit une enquête active mais discrète, soit une piste menant vers des acteurs opérant depuis l’étranger.
La France Plus Vulnérable que Ses Voisins Européens ?
La concentration d’incidents majeurs en 2026 interroge la maturité cybersécuritaire de l’État français face à ses homologues. À titre de comparaison directe, la Commission européenne a elle-même subi une attaque en mars 2026 (350 Go exfiltrés de ses infrastructures cloud Europa.eu, attaque revendiquée par ShinyHunters), mais l’a contenue en neuf heures selon les informations rapportées par le Center for Strategic and International Studies (CSIS). La DGFiP, elle, a laissé l’intrusion se poursuivre seize jours.
Trois facteurs structurels expliquent cette vulnérabilité accrue des systèmes français. La fragmentation des systèmes inter-ministériels constitue le premier problème : les échanges de données entre ministères reposent encore sur des protocoles hérités des années 2000, souvent sans authentification forte pour les accès en lecture. Le programme interministériel France Identité Numérique, dont FICOBA fait partie de l’écosystème, n’a pas déployé le MFA de façon uniforme.
La pénurie de talents en cybersécurité représente le deuxième frein : la France comptait en 2025 environ 57 000 professionnels de la sécurité informatique pour un besoin estimé à 85 000 postes selon l’enquête CESIN / Wavestone. L’État paie en général 30 à 40% de moins que le secteur privé pour des profils équivalents, ce qui alimente une fuite des talents vers les cabinets de conseil et les éditeurs de solutions de sécurité. La surface d’attaque élargie par la dématérialisation accélérée depuis 2020 constitue le troisième facteur : la numérisation de masse des services publics a créé de nouvelles interconnexions entre systèmes d’information qui n’ont pas toutes été auditées dans les délais requis. L’analyse de l’inventaire des cyberattaques françaises 2026 publiée par i-lead Consulting recense, outre les incidents publics, des dizaines d’attaques plus discrètes contre des collectivités territoriales et des établissements de santé.
Comment Savoir si Vous Êtes Concerné et Que Faire
La DGFiP s’est engagée à notifier individuellement les 1,2 million de personnes dont les données ont été consultées. Si vous n’avez pas reçu de courriel officiel de la DGFiP au cours des semaines suivant le 18 février 2026, il est probable que votre compte ne fasse pas partie des données affectées.
Les mesures recommandées sont au nombre de cinq. Premièrement, surveillez vos relevés de compte mensuels avec une attention particulière aux prélèvements SEPA que vous n’avez pas initiés. Deuxièmement, contestez immédiatement tout prélèvement suspect auprès de votre banque : le règlement SEPA vous accorde jusqu’à 13 mois pour les prélèvements non autorisés. Troisièmement, méfiez-vous des courriels, SMS ou appels téléphoniques qui citent votre IBAN, votre nom complet et votre adresse de façon très précise, ces éléments pouvant provenir directement de la fuite FICOBA. Quatrièmement, ne cliquez jamais sur un lien inclus dans un message prétendant provenir de votre banque ou des finances publiques. Cinquièmement, vérifiez auprès du FICP (Fichier National des Incidents de Remboursement des Crédits aux Particuliers) si vous soupçonnez qu’un crédit a été souscrit en votre nom.
Un point crucial : si vous recevez une notification officielle de la DGFiP, celle-ci ne vous demandera aucun mot de passe, aucun clic sur un lien externe, aucun virement. Toute communication vous demandant d’agir de la sorte est une tentative d’hameçonnage exploitant directement l’incident FICOBA.
4 Prédictions pour la Sécurité des Données Publiques en France
L’accumulation d’incidents majeurs sur le premier semestre 2026 va provoquer des évolutions structurelles dans les mois et années à venir. Quatre prédictions s’imposent, fondées sur les tendances observées en Europe et sur la réponse politique et technique en cours.
Prédiction 1 : Déploiement forcé du MFA inter-ministériel avant fin 2026. L’incident FICOBA, dont le vecteur est précisément l’absence de MFA sur un accès en lecture à un fichier financier sensible, constitue un argument politique irrésistible pour débloquer les budgets d’authentification multifacteur. Le Premier ministre a annoncé lors du Conseil de défense et de sécurité nationale de mars 2026 un plan d’accélération de la sécurisation des SI de l’État. Le MFA uniforme sur tous les accès inter-ministériels aux fichiers classifiés sensibles devrait en être la première mesure.
Prédiction 2 : La CNIL va durcir sa doctrine envers les administrations publiques. Les mises en demeure informelles vont progressivement laisser place à des injonctions avec délais contraignants, sur le modèle de l’ICO britannique. La CNIL a déjà formulé des recommandations renforcées sur la gestion des habilitations dans le secteur public en avril 2026. Une décision formelle sur l’affaire FICOBA est attendue avant fin 2026.
Prédiction 3 : Les campagnes de phishing exploitant FICOBA vont culminer entre juillet et octobre 2026. Les données de l’APWG montrent que les cybercriminels monétisent les bases volées avec un décalage moyen de quatre à sept mois. La combinaison IBAN, nom et adresse va alimenter des campagnes de vishing (phishing vocal), de SMiShing et de courrier postal frauduleux ciblant les personnes notifiées. Les établissements bancaires doivent préparer leurs équipes de détection en conséquence.
Prédiction 4 : La NIS2 va s’appliquer à un périmètre élargi incluant les fichiers inter-ministériels sensibles. Le contentieux actuellement en cours à la CJUE autour de la transposition française de NIS2 va s’accélérer sous la pression politique des incidents en série. Les fichiers comme FICOBA, FICP ou le Répertoire National d’Identification des Personnes Physiques (RNIPP) devront satisfaire aux exigences NIS2 de notification sous 24 heures, de surveillance continue et d’audit tiers annuel.
Couverture Connexe
Retrouvez notre analyse complète des violations de données et des enjeux de cybersécurité en France :
- France Titres ANTS : 11,7 Millions de Dossiers Exposés [2026]
- ENI France : 89 000 Comptes Pros Exposés par Lapsus$ [2026]
- Tchap Piraté : 73 467 Fonctionnaires, 13,5 Go Volés [2026]
- NIS2 : France devant la CJUE, 10 000 Entités sous Pression [2026]
- Yango Condamné à 100 M€ : RGPD et Données vers la Russie [2026]
- ShinyHunters Pirate Europa.eu : 350 Go Volés [2026]
FAQ : FICOBA, la Fuite Bancaire et Vos Droits
Qu’est-ce que le fichier FICOBA ?
FICOBA (Fichier National des Comptes Bancaires et Assimilés) est un registre géré par la Direction Générale des Finances Publiques (DGFiP) qui recense tous les comptes bancaires ouverts en France. Il compte environ 300 millions de comptes. Il sert principalement aux échanges administratifs entre ministères pour vérifier des coordonnées bancaires dans le cadre de procédures fiscales, sociales ou judiciaires.
Combien de personnes sont concernées par la fuite ?
Selon le communiqué officiel du ministère de l’Économie du 18 février 2026, environ 1,2 million de comptes bancaires ont été consultés illégitimement. Cela représente moins de 1% du total des comptes dans FICOBA. Chaque compte peut correspondre à une personne physique ou morale distincte.
Les cybercriminels peuvent-ils vider mon compte avec mon IBAN ?
Non directement. Un IBAN seul ne suffit pas à débiter un compte. Le risque principal est le prélèvement SEPA frauduleux (contestable sous 13 mois) et le phishing ultra-ciblé. La combinaison IBAN, nom et adresse augmente significativement la crédibilité des tentatives d’escroquerie par courriel, SMS ou téléphone.
Comment savoir si mon compte fait partie des données volées ?
La DGFiP s’est engagée à notifier individuellement chaque personne concernée par courriel. Si vous n’avez pas reçu de notification officielle dans les semaines suivant le 18 février 2026, votre compte ne fait probablement pas partie des données accédées. En cas de doute, contactez directement votre banque ou la DGFiP via impots.gouv.fr.
Pourquoi l’intrusion a-t-elle duré 16 jours sans être détectée ?
L’attaquant a utilisé des identifiants légitimes d’un fonctionnaire accrédité, ce qui lui conférait un profil de connexion “normal” aux yeux des systèmes de surveillance. Sans authentification multifacteur et sans analyse comportementale des accès (détection d’anomalies sur les volumes de consultation ou les horaires atypiques), une consultation massive répartie sur plusieurs semaines peut rester invisible dans un système d’information traditionnel.
Quels recours ai-je en tant que victime ?
Vous pouvez déposer une plainte auprès de la gendarmerie ou de la police nationale. Vous pouvez également saisir la CNIL (cnil.fr) si vous estimez que vos droits RGPD n’ont pas été respectés, notamment en l’absence de notification alors que votre compte était affecté. En cas de préjudice financier avéré (prélèvement frauduleux, crédit souscrit en votre nom), vous disposez d’un recours civil contre le responsable de traitement.
Comment la NIS2 s’applique-t-elle à cet incident ?
La directive NIS2, transposée en France depuis janvier 2025, impose des obligations de sécurité renforcées aux opérateurs d’importance vitale et aux entités essentielles, avec une notification initiale aux autorités sous 24 heures après détection. L’incident FICOBA illustre précisément les lacunes que NIS2 cherche à combler : absence de MFA sur les accès sensibles, surveillance insuffisante des comportements de connexion, délai de notification qui mérite examen. Son application stricte aux systèmes inter-ministériels sensibles reste un chantier ouvert en France.
