{"id":355,"date":"2026-06-23T08:30:55","date_gmt":"2026-06-23T08:30:55","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/23\/ficoba-piratage-dgfip-iban-2026\/"},"modified":"2026-06-23T08:32:32","modified_gmt":"2026-06-23T08:32:32","slug":"ficoba-piratage-dgfip-iban-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/ficoba-piratage-dgfip-iban-2026\/","title":{"rendered":"DGFiP FICOBA : 1,2 Million d’IBAN Pirat\u00e9s en 16 Jours [2026]"},"content":{"rendered":"\n

Par la R\u00e9daction de shattered.io | 23 juin 2026 | S\u00e9curit\u00e9<\/p>\n\n\n\n

1,2 Million d’IBAN Consult\u00e9s en Seize Jours : Ce Que l’on Sait<\/h2>\n\n\n\n

Le 18 f\u00e9vrier 2026, le minist\u00e8re de l’\u00c9conomie annonce l’une des violations de donn\u00e9es financi\u00e8res les plus graves de l’histoire administrative fran\u00e7aise. Un acteur malveillant a acc\u00e9d\u00e9 ill\u00e9gitimement au FICOBA<\/strong> (Fichier National des Comptes Bancaires et Assimil\u00e9s), exposant les donn\u00e9es de 1,2 million de comptes bancaires<\/strong> sur une p\u00e9riode de seize jours, du 28 janvier au 13 f\u00e9vrier 2026. Les informations compromises comprennent les coordonn\u00e9es bancaires compl\u00e8tes (RIB et IBAN), l’identit\u00e9 des titulaires et leurs adresses postales. Aucun identifiant fiscal n’a \u00e9t\u00e9 consult\u00e9, selon les autorit\u00e9s.<\/p>\n\n\n\n

Le vecteur d’attaque est redoutablement simple : l’intrus a usurp\u00e9 les identifiants d’un fonctionnaire disposant d’acc\u00e8s au fichier dans le cadre des \u00e9changes d’information entre minist\u00e8res. En seize jours de consultation active, aucune alarme ne s’est d\u00e9clench\u00e9e. Cette faille ne repr\u00e9sente pas une vuln\u00e9rabilit\u00e9 technique majeure dans le syst\u00e8me FICOBA lui-m\u00eame, mais un \u00e9chec manifeste de la gestion des acc\u00e8s inter-minist\u00e9riels et de la surveillance comportementale des connexions.<\/p>\n\n\n\n

L’incident survient dans un contexte de crise cyber sans pr\u00e9c\u00e9dent pour l’\u00c9tat fran\u00e7ais : depuis janvier 2026, plus de 300 services publics et priv\u00e9s<\/strong> ont \u00e9t\u00e9 compromis, exposant selon le site frenchbreaches.com quelque 250 millions de donn\u00e9es<\/strong> sur le seul premier semestre. FICOBA s’inscrit dans une s\u00e9rie noire qui inclut le piratage de l’ANTS (11,7 millions de comptes, avril 2026), la messagerie Tchap (73 467 fonctionnaires) et la plateforme B2B d’ENI France (89 000 comptes professionnels).<\/p>\n\n\n\n

Qu’est-ce que FICOBA, le Fichier que Personne ne Connaissait<\/h2>\n\n\n\n

FICOBA est g\u00e9r\u00e9 par la Direction G\u00e9n\u00e9rale des Finances Publiques (DGFiP)<\/strong> sous tutelle du minist\u00e8re de l’\u00c9conomie. Ce registre national recense l’ensemble des comptes bancaires ouverts dans les \u00e9tablissements fran\u00e7ais, soit environ 300 millions de comptes<\/strong> couvrant tous les types d’\u00e9tablissements actifs sur le territoire. Contrairement \u00e0 une id\u00e9e re\u00e7ue, FICOBA n’est pas un portail en ligne accessible au grand public. Il sert principalement aux \u00e9changes administratifs entre minist\u00e8res, notamment pour v\u00e9rifier les coordonn\u00e9es bancaires dans le cadre de proc\u00e9dures fiscales, sociales ou judiciaires : versement d’allocations, saisies administratives, remboursements fiscaux.<\/p>\n\n\n\n

Les champs stock\u00e9s dans FICOBA incluent : le RIB (Relev\u00e9 d’Identit\u00e9 Bancaire), l’IBAN complet, l’identit\u00e9 compl\u00e8te du titulaire (nom, pr\u00e9nom), l’adresse postale et le num\u00e9ro de compte. L’identifiant fiscal, le solde, les mouvements et les codes d’acc\u00e8s ne figurent pas dans ce fichier. C’est pr\u00e9cis\u00e9ment cette architecture limit\u00e9e qui a conduit les autorit\u00e9s \u00e0 pr\u00e9senter le risque de fraude bancaire directe comme faible, tout en reconnaissant un risque significatif d’attaques par ing\u00e9nierie sociale.<\/p>\n\n\n\n

La consultation de FICOBA est normalement encadr\u00e9e par une liste restreinte de fonctionnaires accr\u00e9dit\u00e9s. Le syst\u00e8me d’\u00e9change inter-minist\u00e9riel permettant cet acc\u00e8s ne disposait pas d’authentification multifacteur (MFA) pour tous les profils en lecture, selon les premiers \u00e9l\u00e9ments de l’enqu\u00eate. Cette lacune, courante dans les architectures SI h\u00e9rit\u00e9es des ann\u00e9es 2000, constitue le talon d’Achille que l’attaquant a su exploiter. L’acc\u00e8s compromis avait des droits en lecture partielle, ce qui explique que seuls 1,2 million de comptes sur 300 millions, moins de 1% du total, aient \u00e9t\u00e9 consult\u00e9s.<\/p>\n\n\n\n

Chronologie de l’Attaque : Seize Jours Sans D\u00e9tection<\/h2>\n\n\n\n

La reconstruction chronologique officielle de l’incident, telle que publi\u00e9e par le communiqu\u00e9 officiel du minist\u00e8re de l’\u00c9conomie<\/a> du 18 f\u00e9vrier 2026, r\u00e9v\u00e8le une fen\u00eatre d’exposition exceptionnellement longue pour un fichier de cette sensibilit\u00e9.<\/p>\n\n\n\n

Date<\/th>\u00c9v\u00e9nement<\/th>Source<\/th><\/tr><\/thead>
28 janvier 2026<\/td>D\u00e9but de l’intrusion : premier acc\u00e8s ill\u00e9gitime au fichier FICOBA via identifiants usurp\u00e9s<\/td>DGFiP \/ i-leadconsulting.com<\/td><\/tr>
28 jan. au 13 f\u00e9v. 2026<\/td>Consultation de 1,2 million de comptes sur 16 jours cons\u00e9cutifs<\/td>Communiqu\u00e9 DGFiP<\/td><\/tr>
13 f\u00e9vrier 2026<\/td>D\u00e9tection de l’incident par les \u00e9quipes informatiques de la DGFiP<\/td>Communiqu\u00e9 DGFiP<\/td><\/tr>
13 f\u00e9vrier 2026<\/td>Mesures imm\u00e9diates de restriction d’acc\u00e8s mises en oeuvre pour stopper l’intrusion<\/td>Communiqu\u00e9 DGFiP<\/td><\/tr>
18 f\u00e9vrier 2026<\/td>Divulgation publique officielle par le minist\u00e8re de l’\u00c9conomie (Bercy)<\/td>presse.economie.gouv.fr<\/td><\/tr>
18 f\u00e9vrier 2026<\/td>Notification \u00e0 la CNIL (Art. 33 RGPD) et d\u00e9p\u00f4t de plainte p\u00e9nale<\/td>Communiqu\u00e9 DGFiP<\/td><\/tr>
Fin f\u00e9vrier 2026<\/td>Notifications individuelles envoy\u00e9es par courriel aux personnes concern\u00e9es<\/td>DGFiP<\/td><\/tr>
Juin 2026<\/td>Enqu\u00eate p\u00e9nale toujours en cours, aucune attribution ni arrestation publique<\/td>Numerama \/ shattered.io<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Seize jours de consultation active avant d\u00e9tection repr\u00e9sentent un d\u00e9lai alarmant pour un fichier contenant des donn\u00e9es financi\u00e8res sur une portion significative de la population fran\u00e7aise. La directive NIS2, transpos\u00e9e en France depuis janvier 2025<\/a>, impose une notification initiale aux autorit\u00e9s comp\u00e9tentes sous 24 heures<\/strong> apr\u00e8s la d\u00e9tection d’un incident affectant des entit\u00e9s essentielles. Le d\u00e9lai de cinq jours entre la d\u00e9tection (13 f\u00e9vrier) et la divulgation publique (18 f\u00e9vrier) m\u00e9rite un examen attentif de la CNIL.<\/p>\n\n\n\n

Donn\u00e9es Expos\u00e9es : IBAN, Identit\u00e9 et Adresse, mais pas l’Identifiant Fiscal<\/h2>\n\n\n\n

La DGFiP a communiqu\u00e9 avec pr\u00e9cision sur la nature des donn\u00e9es compromises, en distinguant les champs effectivement consult\u00e9s de ceux qui sont rest\u00e9s hors de port\u00e9e de l’attaquant. Cette transparence partielle sur la nature exacte des informations vol\u00e9es est notable, m\u00eame si le d\u00e9tail technique complet reste soumis \u00e0 l’enqu\u00eate judiciaire en cours.<\/p>\n\n\n\n

Type de donn\u00e9e<\/th>Expos\u00e9e<\/th>Risque principal pour la victime<\/th><\/tr><\/thead>
RIB \/ IBAN complet<\/td>Oui<\/td>Pr\u00e9l\u00e8vement SEPA non autoris\u00e9, usurpation pour ouverture de compte<\/td><\/tr>
Nom et pr\u00e9nom complets<\/td>Oui<\/td>Phishing personnalis\u00e9, ing\u00e9nierie sociale cibl\u00e9e<\/td><\/tr>
Adresse postale<\/td>Oui<\/td>Courrier frauduleux, ciblage physique<\/td><\/tr>
Num\u00e9ro de compte bancaire<\/td>Oui (via RIB)<\/td>Identification bancaire facilit\u00e9e pour l’attaquant<\/td><\/tr>
Identifiant fiscal (num\u00e9ro fiscal)<\/td>Non<\/td>Non applicable<\/td><\/tr>
Solde et mouvements du compte<\/td>Non<\/td>Non applicable<\/td><\/tr>
Codes PIN et mots de passe bancaires<\/td>Non<\/td>Non applicable<\/td><\/tr>
Identifiants de banque en ligne<\/td>Non<\/td>Non applicable<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

L’absence de l’identifiant fiscal est importante : elle limite la capacit\u00e9 de l’attaquant \u00e0 d\u00e9clencher des proc\u00e9dures fiscales ou \u00e0 usurper une identit\u00e9 compl\u00e8te dans un contexte de d\u00e9claration de revenus. Toutefois, la combinaison IBAN, identit\u00e9 compl\u00e8te et adresse postale constitue un ensemble suffisamment coh\u00e9rent pour monter des campagnes de phishing hautement cibl\u00e9es. Un courriel ou SMS qui cite le nom complet d’une victime, son adresse exacte et fait r\u00e9f\u00e9rence \u00e0 sa banque (identifiable depuis le pr\u00e9fixe de l’IBAN) suscite une confiance bien sup\u00e9rieure \u00e0 un message g\u00e9n\u00e9rique.<\/p>\n\n\n\n

Sur le plan technique, un IBAN seul ne permet pas de d\u00e9biter un compte. La Bundesanstalt f\u00fcr Finanzdienstleistungsaufsicht (BaFin)<\/strong> allemande le confirme dans ses guides grand public : un IBAN peut en revanche \u00eatre utilis\u00e9 pour initier un pr\u00e9l\u00e8vement SEPA si l’attaquant dispose d’un mandat fictif. Ce risque reste r\u00e9versible : les victimes disposent d’un droit de contestation allant jusqu’\u00e0 treize mois. Le risque d’usurpation d’identit\u00e9 pour ouvrir un compte ou souscrire un cr\u00e9dit au nom d’une victime est plus difficile \u00e0 corriger a posteriori.<\/p>\n\n\n\n

Le Vecteur d’Attaque : Usurpation d’Identifiants d’un Fonctionnaire<\/h2>\n\n\n\n

Le communiqu\u00e9 officiel du 18 f\u00e9vrier 2026 du minist\u00e8re de l’\u00c9conomie pr\u00e9cise sans ambigu\u00eft\u00e9 la m\u00e9thode employ\u00e9e par l’attaquant : “Un acteur malveillant, qui a usurp\u00e9 les identifiants d’un fonctionnaire disposant d’acc\u00e8s dans le cadre de l’\u00e9change d’information entre minist\u00e8res, a pu consulter une partie de ce fichier qui recense l’ensemble des comptes bancaires ouverts dans les \u00e9tablissements bancaires fran\u00e7ais.”<\/strong><\/p>\n\n\n\n

Aucune attribution \u00e0 un groupe sp\u00e9cifique, qu’il soit criminel ou \u00e9tatique, n’a \u00e9t\u00e9 rendue publique \u00e0 ce jour. La DGFiP parle exclusivement d’un “acteur malveillant”. La question centrale porte sur la m\u00e9thode d’obtention des identifiants du fonctionnaire : phishing classique, spear-phishing ciblant les agents de l’\u00c9tat, vol via une application tierce, ou compromission d’un prestataire informatique inter-minist\u00e9riel. La dur\u00e9e de seize jours sans d\u00e9tection sugg\u00e8re un attaquant m\u00e9thodique, qui a \u00e9vit\u00e9 les comportements aberrants susceptibles de d\u00e9clencher des alertes.<\/p>\n\n\n\n

Cette technique de credential compromise<\/strong> repr\u00e9sente selon le rapport ENISA Threat Landscape 2025 le premier vecteur d’attaque contre les syst\u00e8mes gouvernementaux europ\u00e9ens. Les campagnes de phishing cibl\u00e9 sur les fonctionnaires ont progress\u00e9 de 34% en Europe entre 2024 et 2026. L’ANSSI<\/a> dispose depuis novembre 2024 d’un programme de sensibilisation d\u00e9di\u00e9 aux agents de l’\u00c9tat. L’incident FICOBA confirme que ce programme n’a pas encore atteint tous ses objectifs.<\/p>\n\n\n\n

R\u00e9ponse des Autorit\u00e9s : DGFiP, ANSSI et CNIL Mobilis\u00e9s<\/h2>\n\n\n\n

La DGFiP a pris quatre mesures imm\u00e9diates d\u00e8s la d\u00e9tection le 13 f\u00e9vrier 2026. La premi\u00e8re concerne la restriction imm\u00e9diate des acc\u00e8s pour stopper l’intrusion en cours. La deuxi\u00e8me mobilise les \u00e9quipes informatiques en lien avec le service du Haut Fonctionnaire de D\u00e9fense et de S\u00e9curit\u00e9 (HFDS) du minist\u00e8re. La troisi\u00e8me d\u00e9clenche la notification \u00e0 la CNIL<\/a> conform\u00e9ment \u00e0 l’article 33 du RGPD. La quatri\u00e8me enclenche le d\u00e9p\u00f4t de plainte p\u00e9nale aupr\u00e8s du parquet.<\/p>\n\n\n\n

Le communiqu\u00e9 officiel de la DGFiP stipule : “Les \u00e9quipes informatiques de la DGFiP sont pleinement mobilis\u00e9es, en lien avec les services du minist\u00e8re des finances (service du haut fonctionnaire de d\u00e9fense et de s\u00e9curit\u00e9, HFDS) et l’Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d’information (ANSSI), afin de traiter cet incident et de renforcer la s\u00e9curit\u00e9 du syst\u00e8me d’information.”<\/strong><\/p>\n\n\n\n

L’ANSSI a particip\u00e9 \u00e0 la r\u00e9ponse technique sans publier de d\u00e9claration publique ind\u00e9pendante sur cet incident sp\u00e9cifique. Cette discr\u00e9tion est coh\u00e9rente avec sa doctrine : l’agence intervient en soutien op\u00e9rationnel et publie ses analyses dans ses rapports annuels plut\u00f4t que dans l’urgence m\u00e9diatique. Les banques fran\u00e7aises ont affich\u00e9 des messages d’alerte dans leurs espaces clients num\u00e9riques d\u00e8s les jours suivant la divulgation du 18 f\u00e9vrier, incitant leurs clients \u00e0 surveiller leurs relev\u00e9s de compte. Selon Numerama<\/a>, BNP Paribas, Soci\u00e9t\u00e9 G\u00e9n\u00e9rale, Cr\u00e9dit Agricole et LCL figuraient parmi les \u00e9tablissements ayant affich\u00e9 ces alertes.<\/p>\n\n\n\n

La CNIL a enregistr\u00e9 la notification de violation mais n’a pas encore rendu de d\u00e9cision publique sur d’\u00e9ventuelles mesures correctives ou sanctions \u00e0 la date de r\u00e9daction de cet article. L’enqu\u00eate p\u00e9nale reste ouverte. L’absence d’arrestation publique quatre mois apr\u00e8s la divulgation sugg\u00e8re que l’attaquant a op\u00e9r\u00e9 avec un niveau de sophistication op\u00e9rationnelle sup\u00e9rieur au suspect mineur de l’affaire ANTS.<\/p>\n\n\n\n

Risques Concrets pour les 1,2 Million de Victimes<\/h2>\n\n\n\n

Les experts en s\u00e9curit\u00e9 des paiements identifient trois vecteurs de risque principaux pour les personnes dont les donn\u00e9es FICOBA ont \u00e9t\u00e9 expos\u00e9es. Ces risques se distinguent par leur horizon temporel et leur r\u00e9versibilit\u00e9.<\/p>\n\n\n\n

Le Phishing Personnalis\u00e9 par Courriel et SMS<\/h3>\n\n\n\n

Avec un nom complet, une adresse postale et un IBAN, un attaquant peut construire un message d’hame\u00e7onnage tr\u00e8s convaincant. Un exemple typique : “Votre compte bancaire (IBAN commen\u00e7ant par FRXX) pr\u00e9sente une anomalie. Cliquez ici pour v\u00e9rifier votre identit\u00e9.” La mention de l’IBAN r\u00e9el conf\u00e8re une apparence de l\u00e9gitimit\u00e9 difficile \u00e0 contester pour un utilisateur non averti. Le taux de clic sur ce type de message ultra-personnalis\u00e9 d\u00e9passe de 3 \u00e0 5 fois celui des phishing g\u00e9n\u00e9riques, selon les donn\u00e9es de l’APWG (Anti-Phishing Working Group) pour le premier semestre 2026. Les campagnes exploitant des donn\u00e9es fra\u00eechement vol\u00e9es atteignent leur pic d’activit\u00e9 entre quatre et sept mois apr\u00e8s la fuite initiale, soit entre juin et septembre 2026 pour les donn\u00e9es FICOBA.<\/p>\n\n\n\n

Les Pr\u00e9l\u00e8vements SEPA Non Autoris\u00e9s<\/h3>\n\n\n\n

Un attaquant disposant d’un IBAN peut tenter d’initier un pr\u00e9l\u00e8vement SEPA frauduleux depuis une boutique en ligne complice ou une infrastructure de paiement d\u00e9tourn\u00e9e. Ce risque reste r\u00e9versible : le r\u00e8glement SEPA accorde aux consommateurs un droit de contestation de huit semaines pour les pr\u00e9l\u00e8vements autoris\u00e9s et jusqu’\u00e0 treize mois pour les pr\u00e9l\u00e8vements non autoris\u00e9s. Les victimes doivent surveiller leurs relev\u00e9s mensuels et contester toute op\u00e9ration inconnue aupr\u00e8s de leur banque sans d\u00e9lai. Ce vecteur reste peu rentable pour les cybercriminels \u00e0 grande \u00e9chelle en raison de sa r\u00e9versibilit\u00e9, mais peut servir \u00e0 financer des op\u00e9rations plus cibl\u00e9es.<\/p>\n\n\n\n

L’Usurpation d’Identit\u00e9 pour Ouverture de Compte Bancaire<\/h3>\n\n\n\n

Le risque le plus difficile \u00e0 inverser est l’utilisation des donn\u00e9es pour ouvrir un compte bancaire ou souscrire un cr\u00e9dit au nom d’une victime. La combinaison identit\u00e9 compl\u00e8te, IBAN existant et adresse postale constitue un dossier presque suffisant pour certaines proc\u00e9dures d’ouverture de compte en ligne simplifi\u00e9es. La Banque de France recommande dans ce cas de v\u00e9rifier aupr\u00e8s du Fichier Central des Ch\u00e8ques (FCC) et du Fichier National des Incidents de Remboursement des Cr\u00e9dits aux Particuliers (FICP) si des incidents y ont \u00e9t\u00e9 enregistr\u00e9s \u00e0 votre insu.<\/p>\n\n\n\n

La France en Crise Cyber : 250 Millions de Donn\u00e9es Expos\u00e9es Depuis Janvier 2026<\/h2>\n\n\n\n

L’incident FICOBA ne survient pas de fa\u00e7on isol\u00e9e. Depuis le d\u00e9but 2026, la France accumule les violations de donn\u00e9es \u00e0 un rythme qui interpelle l’ensemble de l’\u00e9cosyst\u00e8me cyber europ\u00e9en. Le recensement publi\u00e9 sur mychromebook.fr<\/a> portant sur les fuites de donn\u00e9es fran\u00e7aises en 2026 comptabilise 25 incidents majeurs dans les seuls secteurs public et parapublic. Quatre incidents particuli\u00e8rement significatifs dessinent une cartographie de la vuln\u00e9rabilit\u00e9 de l’\u00c9tat fran\u00e7ais.<\/p>\n\n\n\n

Le piratage de l’ANTS (Agence Nationale des Titres S\u00e9curis\u00e9s, rebaptis\u00e9e France Titres)<\/strong>, d\u00e9tect\u00e9 le 15 avril 2026, surpasse FICOBA par son volume : 11,7 millions de comptes<\/strong> confirm\u00e9s par le minist\u00e8re de l’Int\u00e9rieur, avec un hacker revendiquant 18 \u00e0 19 millions d’enregistrements sur BreachForums sous l’alias “breach3d”. Les donn\u00e9es incluent noms, dates et lieux de naissance, courriels, adresses et num\u00e9ros de t\u00e9l\u00e9phone. Un suspect mineur de 15 ans a \u00e9t\u00e9 arr\u00eat\u00e9 le 4 mai 2026 \u00e0 l’issue d’une enqu\u00eate conduite par l’Office Anti-Cybercriminalit\u00e9 (OFAC). Notre analyse d\u00e9taill\u00e9e de ce piratage ANTS est disponible ici.<\/a><\/p>\n\n\n\n

La messagerie s\u00e9curis\u00e9e Tchap<\/strong>, utilis\u00e9e par les fonctionnaires de l’\u00c9tat, a subi une exfiltration de 73 467 comptes repr\u00e9sentant 13,5 Go de donn\u00e9es<\/a>. La plateforme B2B d’ENI France<\/strong> a expos\u00e9 89 000 comptes professionnels lors d’une attaque revendiqu\u00e9e par Lapsus$<\/a>. Ces incidents r\u00e9v\u00e8lent une vuln\u00e9rabilit\u00e9 syst\u00e9mique qui d\u00e9passe la somme des failles individuelles : la France n’a pas de strat\u00e9gie unifi\u00e9e de gestion des identit\u00e9s et des acc\u00e8s (IAM) \u00e0 l’\u00e9chelle inter-minist\u00e9rielle.<\/p>\n\n\n\n

Tableau Comparatif des Grandes Violations de Donn\u00e9es Publiques Fran\u00e7aises en 2026<\/h2>\n\n\n\n
Incident<\/th>Date de d\u00e9tection<\/th>Personnes affect\u00e9es<\/th>Donn\u00e9es compromises<\/th>Auteur identifi\u00e9<\/th><\/tr><\/thead>
FICOBA \/ DGFiP<\/td>13 f\u00e9v. 2026<\/td>1,2 million<\/td>IBAN, identit\u00e9 compl\u00e8te, adresse postale<\/td>Inconnu (“acteur malveillant”)<\/td><\/tr>
ANTS \/ France Titres<\/td>15 avr. 2026<\/td>11,7 millions (confirm\u00e9s)<\/td>Identit\u00e9, date et lieu de naissance, email, t\u00e9l\u00e9phone, adresse<\/td>“breach3d” (mineur 15 ans, arr\u00eat\u00e9 le 4 mai)<\/td><\/tr>
Tchap (messagerie \u00c9tat)<\/td>2026<\/td>73 467 fonctionnaires<\/td>Donn\u00e9es de comptes, 13,5 Go exfiltr\u00e9s<\/td>Non identifi\u00e9 publiquement<\/td><\/tr>
ENI France (plateforme B2B)<\/td>2026<\/td>89 000<\/td>Comptes professionnels<\/td>Lapsus$ (revendiqu\u00e9)<\/td><\/tr>
Commission europ\u00e9enne (Europa.eu)<\/td>Mars 2026<\/td>Non divulgu\u00e9<\/td>Infrastructure cloud, 350 Go exfiltr\u00e9s<\/td>ShinyHunters (revendiqu\u00e9)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Obligations RGPD et Cons\u00e9quences L\u00e9gales pour la DGFiP<\/h2>\n\n\n\n

La fuite FICOBA a d\u00e9clench\u00e9 plusieurs obligations r\u00e9glementaires sous le R\u00e8glement G\u00e9n\u00e9ral sur la Protection des Donn\u00e9es (RGPD) et la loi Informatique et Libert\u00e9s.<\/p>\n\n\n\n

L’article 33 du RGPD<\/strong> impose au responsable de traitement (la DGFiP) une notification \u00e0 l’autorit\u00e9 de contr\u00f4le comp\u00e9tente dans un d\u00e9lai de 72 heures apr\u00e8s avoir pris connaissance de la violation. La d\u00e9tection date du 13 f\u00e9vrier, la notification \u00e0 la CNIL est d\u00e9crite dans le communiqu\u00e9 comme ayant eu lieu “d\u00e8s la d\u00e9tection de l’incident”. Ce d\u00e9lai semble respect\u00e9, m\u00eame si sa v\u00e9rification publique pr\u00e9cise reste \u00e0 confirmer par la CNIL elle-m\u00eame.<\/p>\n\n\n\n

L’article 34 du RGPD<\/strong> exige que les personnes concern\u00e9es soient inform\u00e9es “dans les meilleurs d\u00e9lais” lorsque la violation est susceptible d’engendrer un risque \u00e9lev\u00e9 pour leurs droits. La DGFiP s’est engag\u00e9e \u00e0 notifier individuellement les 1,2 million de personnes concern\u00e9es dans les jours suivant le 18 f\u00e9vrier, ce qui constitue une r\u00e9ponse conforme \u00e0 la r\u00e9glementation sur ce point.<\/p>\n\n\n\n

Les sanctions applicables en cas de manquement atteignent 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial<\/strong>, le montant le plus \u00e9lev\u00e9 \u00e9tant retenu. Pour une administration publique, le r\u00e9gime diff\u00e8re des entreprises priv\u00e9es : la CNIL<\/a> dispose d’un pouvoir de mise en demeure et d’injonction, mais les sanctions p\u00e9cuniaires directes contre l’\u00c9tat restent juridiquement complexes \u00e0 appliquer. L’enjeu est surtout r\u00e9putationnel et politique, avec une pression croissante du Parlement europ\u00e9en pour durcir l’application du RGPD aux administrations publiques. \u00c0 titre de comparaison, l’ICO britannique a inflig\u00e9 963 000 livres sterling \u00e0 deux entreprises en juin 2026<\/a> pour une br\u00e8che affectant 633 000 personnes.<\/p>\n\n\n\n

La plainte p\u00e9nale d\u00e9pos\u00e9e par la DGFiP ouvre une enqu\u00eate judiciaire distincte. L’Office Anti-Cybercriminalit\u00e9 (OFAC), unit\u00e9 sp\u00e9cialis\u00e9e de la police judiciaire fran\u00e7aise, est l’organisme le plus susceptible d’avoir \u00e9t\u00e9 mandat\u00e9 sur ce dossier, sur le mod\u00e8le de l’affaire ANTS. L’absence d’arrestation publique quatre mois apr\u00e8s la divulgation indique soit une enqu\u00eate active mais discr\u00e8te, soit une piste menant vers des acteurs op\u00e9rant depuis l’\u00e9tranger.<\/p>\n\n\n\n

La France Plus Vuln\u00e9rable que Ses Voisins Europ\u00e9ens ?<\/h2>\n\n\n\n

La concentration d’incidents majeurs en 2026 interroge la maturit\u00e9 cybers\u00e9curitaire de l’\u00c9tat fran\u00e7ais face \u00e0 ses homologues. \u00c0 titre de comparaison directe, la Commission europ\u00e9enne a elle-m\u00eame subi une attaque en mars 2026 (350 Go exfiltr\u00e9s de ses infrastructures cloud Europa.eu, attaque revendiqu\u00e9e par ShinyHunters), mais l’a contenue en neuf heures<\/a> selon les informations rapport\u00e9es par le Center for Strategic and International Studies (CSIS). La DGFiP, elle, a laiss\u00e9 l’intrusion se poursuivre seize jours.<\/p>\n\n\n\n

Trois facteurs structurels expliquent cette vuln\u00e9rabilit\u00e9 accrue des syst\u00e8mes fran\u00e7ais. La fragmentation des syst\u00e8mes inter-minist\u00e9riels<\/strong> constitue le premier probl\u00e8me : les \u00e9changes de donn\u00e9es entre minist\u00e8res reposent encore sur des protocoles h\u00e9rit\u00e9s des ann\u00e9es 2000, souvent sans authentification forte pour les acc\u00e8s en lecture. Le programme interminist\u00e9riel France Identit\u00e9 Num\u00e9rique, dont FICOBA fait partie de l’\u00e9cosyst\u00e8me, n’a pas d\u00e9ploy\u00e9 le MFA de fa\u00e7on uniforme.<\/p>\n\n\n\n

La p\u00e9nurie de talents en cybers\u00e9curit\u00e9<\/strong> repr\u00e9sente le deuxi\u00e8me frein : la France comptait en 2025 environ 57 000 professionnels de la s\u00e9curit\u00e9 informatique pour un besoin estim\u00e9 \u00e0 85 000 postes selon l’enqu\u00eate CESIN \/ Wavestone. L’\u00c9tat paie en g\u00e9n\u00e9ral 30 \u00e0 40% de moins que le secteur priv\u00e9 pour des profils \u00e9quivalents, ce qui alimente une fuite des talents vers les cabinets de conseil et les \u00e9diteurs de solutions de s\u00e9curit\u00e9. La surface d’attaque \u00e9largie par la d\u00e9mat\u00e9rialisation acc\u00e9l\u00e9r\u00e9e depuis 2020<\/strong> constitue le troisi\u00e8me facteur : la num\u00e9risation de masse des services publics a cr\u00e9\u00e9 de nouvelles interconnexions entre syst\u00e8mes d’information qui n’ont pas toutes \u00e9t\u00e9 audit\u00e9es dans les d\u00e9lais requis. L’analyse de l’inventaire des cyberattaques fran\u00e7aises 2026<\/a> publi\u00e9e par i-lead Consulting recense, outre les incidents publics, des dizaines d’attaques plus discr\u00e8tes contre des collectivit\u00e9s territoriales et des \u00e9tablissements de sant\u00e9.<\/p>\n\n\n\n

Comment Savoir si Vous \u00cates Concern\u00e9 et Que Faire<\/h2>\n\n\n\n

La DGFiP s’est engag\u00e9e \u00e0 notifier individuellement les 1,2 million de personnes dont les donn\u00e9es ont \u00e9t\u00e9 consult\u00e9es. Si vous n’avez pas re\u00e7u de courriel officiel de la DGFiP au cours des semaines suivant le 18 f\u00e9vrier 2026, il est probable que votre compte ne fasse pas partie des donn\u00e9es affect\u00e9es.<\/p>\n\n\n\n

Les mesures recommand\u00e9es sont au nombre de cinq. Premi\u00e8rement, surveillez vos relev\u00e9s de compte mensuels avec une attention particuli\u00e8re aux pr\u00e9l\u00e8vements SEPA que vous n’avez pas initi\u00e9s. Deuxi\u00e8mement, contestez imm\u00e9diatement tout pr\u00e9l\u00e8vement suspect aupr\u00e8s de votre banque : le r\u00e8glement SEPA vous accorde jusqu’\u00e0 13 mois pour les pr\u00e9l\u00e8vements non autoris\u00e9s. Troisi\u00e8mement, m\u00e9fiez-vous des courriels, SMS ou appels t\u00e9l\u00e9phoniques qui citent votre IBAN, votre nom complet et votre adresse de fa\u00e7on tr\u00e8s pr\u00e9cise, ces \u00e9l\u00e9ments pouvant provenir directement de la fuite FICOBA. Quatri\u00e8mement, ne cliquez jamais sur un lien inclus dans un message pr\u00e9tendant provenir de votre banque ou des finances publiques. Cinqui\u00e8mement, v\u00e9rifiez aupr\u00e8s du FICP (Fichier National des Incidents de Remboursement des Cr\u00e9dits aux Particuliers) si vous soup\u00e7onnez qu’un cr\u00e9dit a \u00e9t\u00e9 souscrit en votre nom.<\/p>\n\n\n\n

Un point crucial : si vous recevez une notification officielle de la DGFiP, celle-ci ne vous demandera aucun mot de passe, aucun clic sur un lien externe, aucun virement. Toute communication vous demandant d’agir de la sorte est une tentative d’hame\u00e7onnage exploitant directement l’incident FICOBA.<\/p>\n\n\n\n

4 Pr\u00e9dictions pour la S\u00e9curit\u00e9 des Donn\u00e9es Publiques en France<\/h2>\n\n\n\n

L’accumulation d’incidents majeurs sur le premier semestre 2026 va provoquer des \u00e9volutions structurelles dans les mois et ann\u00e9es \u00e0 venir. Quatre pr\u00e9dictions s’imposent, fond\u00e9es sur les tendances observ\u00e9es en Europe et sur la r\u00e9ponse politique et technique en cours.<\/p>\n\n\n\n

Pr\u00e9diction 1 : D\u00e9ploiement forc\u00e9 du MFA inter-minist\u00e9riel avant fin 2026.<\/strong> L’incident FICOBA, dont le vecteur est pr\u00e9cis\u00e9ment l’absence de MFA sur un acc\u00e8s en lecture \u00e0 un fichier financier sensible, constitue un argument politique irr\u00e9sistible pour d\u00e9bloquer les budgets d’authentification multifacteur. Le Premier ministre a annonc\u00e9 lors du Conseil de d\u00e9fense et de s\u00e9curit\u00e9 nationale de mars 2026 un plan d’acc\u00e9l\u00e9ration de la s\u00e9curisation des SI de l’\u00c9tat. Le MFA uniforme sur tous les acc\u00e8s inter-minist\u00e9riels aux fichiers classifi\u00e9s sensibles devrait en \u00eatre la premi\u00e8re mesure.<\/p>\n\n\n\n

Pr\u00e9diction 2 : La CNIL va durcir sa doctrine envers les administrations publiques.<\/strong> Les mises en demeure informelles vont progressivement laisser place \u00e0 des injonctions avec d\u00e9lais contraignants, sur le mod\u00e8le de l’ICO britannique. La CNIL a d\u00e9j\u00e0 formul\u00e9 des recommandations renforc\u00e9es sur la gestion des habilitations dans le secteur public en avril 2026. Une d\u00e9cision formelle sur l’affaire FICOBA est attendue avant fin 2026.<\/p>\n\n\n\n

Pr\u00e9diction 3 : Les campagnes de phishing exploitant FICOBA vont culminer entre juillet et octobre 2026.<\/strong> Les donn\u00e9es de l’APWG montrent que les cybercriminels mon\u00e9tisent les bases vol\u00e9es avec un d\u00e9calage moyen de quatre \u00e0 sept mois. La combinaison IBAN, nom et adresse va alimenter des campagnes de vishing (phishing vocal), de SMiShing et de courrier postal frauduleux ciblant les personnes notifi\u00e9es. Les \u00e9tablissements bancaires doivent pr\u00e9parer leurs \u00e9quipes de d\u00e9tection en cons\u00e9quence.<\/p>\n\n\n\n

Pr\u00e9diction 4 : La NIS2 va s’appliquer \u00e0 un p\u00e9rim\u00e8tre \u00e9largi incluant les fichiers inter-minist\u00e9riels sensibles.<\/strong> Le contentieux actuellement en cours \u00e0 la CJUE autour de la transposition fran\u00e7aise de NIS2<\/a> va s’acc\u00e9l\u00e9rer sous la pression politique des incidents en s\u00e9rie. Les fichiers comme FICOBA, FICP ou le R\u00e9pertoire National d’Identification des Personnes Physiques (RNIPP) devront satisfaire aux exigences NIS2 de notification sous 24 heures, de surveillance continue et d’audit tiers annuel.<\/p>\n\n\n\n

Couverture Connexe<\/h2>\n\n\n\n

Retrouvez notre analyse compl\u00e8te des violations de donn\u00e9es et des enjeux de cybers\u00e9curit\u00e9 en France :<\/p>\n\n\n\n