🔐 CNRS : fuite de données sensibles – et si le problème venait de nos propres pratiques de stockage ?

⚠️ Le Centre National de la Recherche Scientifique (CNRS) a confirmé, qu’à partir d’un serveur mal sécurisé, un téléchargement non autorisé a concerné des fichiers contenant des données personnelles de milliers d’anciens agents recrutés avant 2007 –> noms, adresses, dates de naissance, numéros de sécurité sociale et RIB ont été exposés.

👉 Le serveur a été isolé après détection, la CNIL et l’ANSSI – Agence nationale de la sécurité des systèmes d’information ont été alertées. Une plainte a été déposée et des recommandations ont été émises (vérification sur haveibeenpwned, surveillance des comptes, alerte bancaire)

📊 En plus du volume ou du type de données, ces informations sensibles restaient accessibles après presque deux décennies, sans justification métier claire. Cela pose la question centrale de l’adéquation entre les pratiques de conservation des données et les exigences du RGPD ou des principes de “privacy by design”.

🔍 Dans un contexte où les institutions publiques françaises (Ministère de l’intérieur, Urssaf Caisse nationale, et maintenant CNRS) deviennent des cibles systématiques, cet incident révèle un problème structurel.

En effet, des données anciennes non segmentées, non correctement archivées, augmentent inutilement la surface d’attaque, exposant à des risques d’usurpation d’identité, fraude bancaire et phishing sophistiqué.

📌 Leçon clé : Au-delà des mesures techniques, nous devons renforcer nos approches organisationnelles : audit régulier des rétentions, segmentation stricte des anciennes données RH et suppression automatique des données non nécessaires.

🔗 Source : https://www.cnrs.fr/fr/presse/incident-de-cybersecurite-au-cnrs