iuricazac - stock.adobe.com
Violation de données Pajemploi : l’Urssaf ne dira pas comment elle est survenue
L’Urssaf vient de faire état d’une violation de données qui « a pu concerner jusqu’à 1,2 million de salariés particuliers employeurs recourant au service Pajemploi ». L’organisation refuse d’indiquer comment elle a pu survenir.
Dans un communiqué publié ce lundi 17 novembre, l’Urssaf fait était d’une violation de données à caractère personnel de salariés des particuliers employeurs utilisant le service Pajemploi.
Les données en question « potentiellement extraites sont les nom, prénom, date et lieu de naissance, adresse postale, numéro de Sécurité sociale, nom de l’établissement bancaire, numéro Pajemploi et numéro d’agrément », précise le communiqué. Selon ce dernier, la violation « a pu concerner jusqu’à 1,2 million » de personnes.
Toutefois, « aucun numéro de compte bancaire (IBAN), aucune adresse mail, aucun numéro de téléphone ou mot de passe de connexion ne sont concernés ».
Dans son communiqué, l’Urssaf parle d’acte de cybermalveillance « constaté le 14 novembre » et dit avoir pris « les mesures nécessaires et mobilisé toutes les équipes pour en identifier les causes, y mettre fin et renforcer la protection de [ses] systèmes d’information ». Et cela, « dès l’identification de l’accident ». Et d’ajouter avoir notamment notifié la fuite de données à l’Agence de la sécurité des systèmes d’informations (Anssi).
La réalité apparaît un peu plus terne que les termes ici employés. Dans un courriel adressé à la rédaction, à la suite de notre sollicitation, la direction de la communication de l’Urssaf explique que c’est en fait l’Anssi qui lui a signalé l’incident, « détecté [sic] le 14 novembre après la découverte de données à caractère personnel sur le darknet ».
L’organisme indique avoir « pris des mesures pour sécuriser [ses] systèmes et empêcher toute nouvelle intrusion » et qu’une « enquête approfondie est en cours, menée avec l’Anssi et les autorités compétentes ».
« Notre priorité, c’est de renforcer la protection des données des salariés et de les informer », déclare l’Urssaf, ajoutant qu’une plainte pénale « sera déposée très prochainement ».
Mais comment ladite « intrusion » est-elle survenue ? L’organisme exprime l’intention de ne pas en dire un mot : « nous n’avons pas la volonté de faire état des techniques d’attaques des cybercriminels ».
Pour approfondir sur Menaces, Ransomwares, DDoS
-
![]()
Pourquoi l’Urssaf a réinternalisé son SOC
Par: Alain Clapaud
-
![]()
Applications & Données 24 : sans humain et sans « data », pas d’IA
Par: Philippe Ducellier
-
![]()
La DSI de l’Urssaf sur tous les fronts : conteneurs, IA, cloud, dette technique
Par: Christophe Auffray
-
![]()
UCaaS : Rainbow d’Alcatel-Lucent Enterprise certifié par l’ANSSI
Par: Philippe Ducellier
