On a dépensé plus de 315 millions d'euros pour sécuriser l'ANTS, et un pirate a réussi à en extraire les données de 11,7 millions de Français en modifiant un chiffre dans une URL. La question n'est plus "comment est-ce arrivé", mais "pourquoi personne ne l'a empêché".
Ce 30 avril 2026, le Premier ministre Sébastien Lecornu se rend dans les locaux de France Titres, anciennement l'Agence nationale des titres sécurisés, deux semaines après l'une des plus grandes fuites de données administratives de l'histoire française. Il sera accompagné du ministre de l'Intérieur Laurent Nuñez, du ministre de l'Éducation Édouard Geffray, du ministre des Comptes publics David Amiel et de la ministre déléguée au numérique Anne Le Hénanff. Des annonces sont attendues. La forme est celle d'une réponse de crise. Le fond, lui, pose des questions que les annonces seules ne résoudront pas.
Car avant de savoir ce que le gouvernement va promettre, il faut comprendre ce qui a permis à cette fuite de se produire, malgré des ressources considérables, malgré des recommandations répétées de la CNIL et de l'ANSSI, et malgré une première alerte publique remontant à septembre 2025. Ce n'est pas un dossier technique. C'est un dossier de gouvernance.
Ce qui a raté, point par point
La faille exploitée par le pirate se présentant sous le pseudonyme "breach3d" est d'une banalité qui confond. Il s'agissait d'une vulnérabilité de type IDOR (Insecure Direct Object Reference) : en modifiant un simple identifiant numérique dans une requête envoyée à l'API du portail ants.gouv.fr, il était possible d'accéder aux données personnelles d'un autre utilisateur. Aucun mot de passe à deviner, aucune technique d'intrusion sophistiquée. Une modification d'un chiffre. Le pirate lui-même a qualifié cette faille de "vraiment stupide".
Rappel des faits : en septembre 2025, une annonce de vente de données prétendument issues de l'ANTS avait déjà circulé sur le dark web. L'agence avait publié un communiqué niant toute intrusion. L'ANSSI avait conclu à un recyclage de fuites plus anciennes. Aucun audit approfondi de l'API n'a été rendu public entre cette date et le 15 avril 2026. La faille est restée en place.
Trois défaillances structurelles expliquent cet enchaînement, et aucune d'elles n'est propre à l'ANTS.
Détection trop tardive
L'intrusion a été détectée le 15 avril. La base était en vente sur le dark web le 16. La CNIL le souligne dans son bilan 2024 : dans la majorité des grandes violations, les organismes ne découvrent la fuite qu'une fois les données mises en vente, jamais avant.
Absence de MFA
La présidente de la CNIL a confirmé que la quasi-totalité des grandes violations de 2024 auraient pu être évitées par un mécanisme d'authentification multifacteur. La faille IDOR de l'ANTS n'est pas directement liée au MFA, mais l'absence de contrôle d'autorisation robuste côté serveur relève du même état d'esprit : la sécurité traitée comme une option.
Absence de responsabilité nominale
L'Inspection générale de l'administration a été saisie pour "établir la chaîne de responsabilité". Ce devrait être la première question posée avant chaque déploiement d'un portail régalien, pas la dernière après une fuite. La directive NIS2, entrée en vigueur en octobre 2024, impose précisément cette responsabilisation des dirigeants.
315 millions d'euros et une faille à 0 euro à corriger
Le sujet du financement mérite d'être posé franchement. L'ANTS percevra en 2026 plus de 286 millions d'euros de taxes affectées (sur les passeports et certificats d'immatriculation notamment), auxquels s'ajoutent 29,5 millions de crédits budgétaires, soit plus de 315 millions d'euros au total. L'effort public global en matière de cybersécurité est estimé entre 700 millions et 1 milliard d'euros par an, répartis entre l'ANSSI, le Secrétariat général de la défense et de la sécurité nationale (SGDSN) et des programmes exceptionnels comme le plan France Relance (136 millions d'euros dédiés à la sécurisation des services publics).
Le problème n'est donc pas budgétaire. Il est organisationnel. Les crédits sont éparpillés entre une multitude d'organismes aux mandats cloisonnés, sans coordination opérationnelle efficace sur les portails les plus exposés. L'ANSSI, dotée d'environ 27 millions d'euros de budget propre, émet des recommandations. Elle ne dispose pas de pouvoir d'injonction sur les agences comme l'ANTS. Le résultat : des guides de bonne pratique ignorés, des alertes traitées comme des faux positifs, et des failles élémentaires qui restent ouvertes pendant des mois.
Une fuite parmi une série qui aurait dû déclencher une réforme
L'ANTS n'est pas un cas isolé. Elle s'inscrit dans une série d'incidents qui aurait dû, collectivement, provoquer une réforme structurelle bien avant ce 30 avril 2026.
France Travail : 43 millions de personnes
La fuite la plus massive de l'histoire administrative française, via un prestataire tiers dont les accès n'étaient pas suffisamment contrôlés. La CNIL a ouvert une enquête et rappelé ses recommandations sur la gestion des sous-traitants.
FICOBA : 1,2 million d'IBAN exposés
Un usurpateur se faisant passer pour un fonctionnaire de Bercy a accédé au Fichier national des comptes bancaires. Un seul identifiant compromis, sans authentification multifacteur, a suffi à exfiltrer 1,2 million de RIB complets avec coordonnées des titulaires.
ÉduConnect et France Titres (ANTS) : coup double
Le même mois, ÉduConnect exposait des données d'élèves, et l'ANTS subissait son intrusion. Les plateformes d'identité numérique de l'État sont devenues une cible systématique, précisément parce qu'elles centralisent des données que les fraudeurs peuvent croiser avec d'autres fuites.
Bon à savoir : selon le rapport annuel 2024 de la CNIL, le nombre de violations de données touchant plus d'un million de personnes a doublé en un an en France, passant d'une vingtaine à une quarantaine. La tendance ne s'inverse pas par des communiqués de presse.
Ce que le gouvernement devrait annoncer, pas seulement promettre
Les annonces de Lecornu sont attendues dans la journée du 30 avril. Sans préjuger de leur contenu, voici ce que les experts, la CNIL et l'ANSSI réclament depuis des années, et qui n'a pas encore été traduit en obligations contraignantes pour les portails publics critiques.
Des recommandations non contraignantes
- Référentiel général de sécurité (RGS) pour les administrations
- Guide MFA de l'ANSSI (publié, non obligatoire)
- Référentiel de certification des sous-traitants CNIL (décembre 2024, volontaire)
- Directive NIS2 transposée en droit français (octobre 2024)
Des obligations et une autorité d'injonction
- MFA obligatoire pour tout portail public traitant plus de 500 000 comptes
- Audit de sécurité annuel imposé par l'ANSSI sur les portails régaliens
- Vérification continue du niveau de sécurité des sous-traitants
- Responsabilité nominale du DSI en cas de faille non corrigée signalée
Le Royaume-Uni impose le référentiel Cyber Essentials à tout fournisseur de l'État : aucun prestataire ne peut accéder aux systèmes publics sans certification préalable. La France dispose depuis décembre 2024 d'un référentiel équivalent proposé par la CNIL, mais personne ne l'exige. L'outil est là. La volonté politique de le rendre obligatoire ne l'est pas encore.
Ce que votre entreprise peut faire, elle, dès maintenant
La réforme de la cybersécurité publique prendra des mois, probablement des années. Vos propres portails, formulaires et espaces clients, eux, n'ont pas besoin d'attendre une loi pour être sécurisés correctement.
- Activez le MFA sur tous vos accès critiques : backoffice, hébergement, outils SaaS, messagerie professionnelle. C'est la mesure numéro un que la CNIL cite dans chaque rapport depuis 2023.
- Auditez vos API et formulaires pour des failles IDOR : si votre application utilise des identifiants séquentiels pour accéder à des ressources (commandes, profils, documents), faites vérifier les contrôles d'autorisation côté serveur.
- Formalisez vos contrats de sous-traitance (article 28 du RGPD) : chaque prestataire qui accède à vos données doit être contractuellement engagé sur ses obligations de sécurité. C'est une obligation légale, pas une option.
- Préparez votre procédure de notification CNIL : 72 heures, c'est court. Savoir qui appelle qui, quel formulaire remplir et quelles informations rassembler doit être documenté avant l'incident, pas pendant.
- Vérifiez que votre politique de confidentialité mentionne vos mesures de sécurité : l'article 32 du RGPD impose de mettre en oeuvre des mesures techniques et organisationnelles appropriées. Votre politique doit en faire état, même sans entrer dans les détails techniques.
Votre site est-il exposé aux mêmes lacunes que l'ANTS ?
Analysez votre conformité RGPD en deux minutes : politique de confidentialité, mentions légales, clauses de sous-traitance. RGPDKit identifie ce qui manque et génère les documents adaptés à votre activité.
Ce que les entreprises peuvent apprendre de l'échec de l'État
Il serait confortable de considérer la fuite ANTS comme un problème de l'État, distinct de la réalité des PME et des agences. Ce serait une erreur. Les défaillances documentées à l'ANTS sont les mêmes que celles que la CNIL constate chaque semaine dans ses contrôles d'acteurs privés : absence de MFA, sous-traitants non audités, détection trop tardive, procédures de notification non formalisées.
Pour les PME et TPE
Vous n'avez pas 315 millions d'euros de budget, mais vous avez les mêmes obligations RGPD qu'un portail régalien dès que vous traitez des données personnelles de clients ou de salariés.
- Une faille IDOR sur votre espace client coûte autant à corriger qu'à l'ANTS : presque rien si elle est détectée en amont, énorme si elle est exploitée
- Votre politique de confidentialité doit mentionner vos mesures de sécurité (article 32 du RGPD)
- Consultez les fiches pratiques de cybermalveillance.gouv.fr pour un audit de base gratuit
Pour les agences web et DPO
Vous développez ou gérez des portails qui traitent des données personnelles. Les mêmes standards techniques que ceux qui font défaut à l'ANTS s'appliquent à vos livrables.
- Intégrez des tests de sécurité sur les contrôles d'autorisation API dans vos recettes de projet
- Vérifiez que chaque espace client que vous livrez implémente des identifiants non prédictibles (UUID)
- Formalisez la responsabilité contractuelle en matière de sécurité dans vos CGV et contrats de maintenance
Questions fréquentes
Quelles mesures Lecornu a-t-il annoncées après la fuite ANTS ?
Le Premier ministre s'est rendu le 30 avril 2026 dans les locaux de l'ANTS avec les ministres de l'Intérieur, de l'Éducation, des Comptes publics et du Numérique. Des annonces de renforcement de la lutte contre les cyberattaques étaient attendues dans la journée. L'Inspection générale de l'administration avait déjà été saisie pour établir la chaîne de responsabilité dans l'incident.
Pourquoi la faille ANTS n'a-t-elle pas été détectée et corrigée avant avril 2026 ?
Une alerte similaire avait circulé sur le dark web en septembre 2025. L'ANSSI avait alors conclu à un recyclage de données plus anciennes et aucune compromission n'avait été détectée. La faille IDOR exploitée en avril 2026 était pourtant élémentaire et aurait dû être identifiée par un audit de sécurité standard de l'API du portail. L'absence d'audit obligatoire et de surveillance en temps réel explique qu'elle soit restée ouverte.
Combien l'État dépense-t-il pour la cybersécurité et pourquoi ça ne suffit pas ?
L'effort public est estimé entre 700 millions et 1 milliard d'euros par an, répartis entre l'ANSSI (27 millions d'euros de budget propre), le SGDSN (425 millions d'euros) et des dispositifs exceptionnels. L'ANTS dispose elle-même de plus de 315 millions d'euros en 2026. Les failles récurrentes révèlent un problème d'organisation des priorités et de pouvoir d'injonction entre agences, pas un manque de ressources globales.
Qu'est-ce que l'authentification multifacteur et pourquoi n'est-elle pas encore obligatoire ?
L'authentification multifacteur (MFA) est un mécanisme qui exige une deuxième vérification en plus du mot de passe. La présidente de la CNIL a confirmé que la quasi-totalité des grandes violations de 2024 auraient pu être évitées par ce seul dispositif. Pourtant, à ce jour, la MFA n'est pas imposée réglementairement aux portails publics traitant des millions de comptes. L'ANSSI publie des guides de recommandation, sans pouvoir d'injonction.
Qu'est-ce que la directive NIS2 et s'applique-t-elle aux administrations comme l'ANTS ?
La directive NIS2 (Network and Information Security 2), transposée en droit français en octobre 2024, élargit les obligations de cybersécurité à de nombreuses entités publiques et privées gérant des services essentiels. Elle impose des mesures de gestion des risques, des obligations de notification des incidents et une responsabilité accrue des dirigeants. France Titres, qui gère les documents régaliens de millions de Français, entre clairement dans son champ d'application.
Les entreprises privées doivent-elles s'inspirer des mesures attendues du gouvernement ?
Oui, sans attendre que ces mesures soient rendues obligatoires. MFA sur tous les accès critiques, audit régulier des API, vérification des sous-traitants, procédure de notification documentée : ce sont des mesures que le RGPD impose indirectement à tout responsable de traitement, quelle que soit sa taille, via l'article 32 sur la sécurité des traitements. Une PME qui les applique réduit à la fois son risque d'incident et sa responsabilité CNIL en cas de violation.
Jérémy Pierre
Expert en conformité RGPD, Jérémy accompagne les sites et agences dans la mise en conformité de leurs traitements de données depuis le lancement de RGPDKit.