Incident de cybersécurité sur la DPAE

Actualité
Paie URSSAF

Un incident de sécurité impliquant l’API de la déclaration préalable à l’embauche a été récemment identifié par l’Urssaf. Sans remise en cause de ses systèmes, cet événement a conduit à l’exposition limitée de certaines données d’embauche.

Incident de cybersécurité sur la DPAE
Publié le
Temps de lecture 3 min.
Télécharger en PDF

Consultation irrégulière détectée sur un service réservé

Urssaf a identifié un accès non autorisé à l’API utilisée pour l’échange de données issues des déclarations préalables à l’embauche. Cette interface technique est exclusivement destinée à des partenaires institutionnels disposant d’habilitations spécifiques et ne constitue pas un service accessible aux employeurs ou au public.

L’incident a été circonscrit à l’utilisation frauduleuse d’un compte partenaire, sans intrusion directe dans les infrastructures informatiques de l’Urssaf.

Données concernées et périmètre temporel

Les informations susceptibles d’avoir été consultées ou extraites se limitent à des données d’identification professionnelle et administrative :

  • nom et prénom du salarié,
  • date de naissance,
  • numéro Siret de l’employeur,
  • date de début du contrat.

Les personnes concernées sont les salariés ayant fait l’objet d’une embauche au cours des trois dernières années.

Aucune donnée à caractère hautement sensible n’est impactée. Sont notamment exclus :

  • le numéro d’inscription au répertoire (NIR),
  • les coordonnées postales ou électroniques,
  • les numéros de téléphone,
  • les informations bancaires.

Origine de l’incident et responsabilités techniques

Les investigations ont établi que l’accès frauduleux a été rendu possible par le vol préalable d’identifiants appartenant à un partenaire de l’Urssaf, à la suite d’un acte de cybermalveillance dont ce dernier a été victime.

L’API a ainsi été consultée au moyen d’autorisations valides mais détournées de leur usage initial. Les systèmes d’information de l’Urssaf n’ont pas été compromis et continuent de fonctionner dans des conditions normales de sécurité.

Les employeurs peuvent donc poursuivre la réalisation de leurs déclarations préalables à l’embauche sans modification des modalités habituelles.

Mesures immédiates et renforcement des contrôles

Dès la détection de l’anomalie, l’Urssaf a engagé une série d’actions correctives :

  • désactivation immédiate des accès associés au compte partenaire concerné,
  • analyse approfondie des flux et des consultations réalisées,
  • renforcement des dispositifs de protection des systèmes d’information,
  • sécurisation accrue des procédures d’attribution et de gestion des habilitations partenaires.

Ces mesures s’inscrivent dans une démarche globale de prévention et de limitation des risques liés aux accès tiers.

Notifications réglementaires et actions judiciaires

Conformément aux obligations applicables en matière de protection des données personnelles, l’Urssaf a procédé aux signalements requis auprès des autorités compétentes, à savoir :

  • la Commission nationale de l'informatique et des libertés,
  • l’Agence nationale de la sécurité des systèmes d'information.

Par ailleurs, une plainte a été déposée auprès du procureur de la République afin de permettre l’ouverture d’investigations pénales.

Sensibilisation accrue aux risques de fraude

Dans ce contexte, l’Urssaf rappelle l’importance d’une vigilance constante face aux tentatives d’hameçonnage. Aucun organisme institutionnel ne sollicite la communication d’identifiants, de mots de passe ou de coordonnées bancaires par téléphone ou par courrier électronique.

Des ressources de prévention et des recommandations pratiques sont mises à disposition dans les espaces d’information dédiés à la sécurité numérique.

Dispositif d’information mis à disposition

Un numéro spécifique est accessible pour répondre aux questions relatives à cet incident et à ses conséquences éventuelles : 0 809 541 962 (service gratuit + coût d’un appel).