La compromission de FICOBA rappelle qu’un registre critique ne se protège pas seulement par des contrôles d’accès, mais par une architecture de traçabilité, de cloisonnement et de supervision continue. Au-delà de l’incident, c’est la robustesse de tout l’écosystème d’échange de données financières et d’identité qui se retrouve questionnée, des prestataires KYC aux équipements périmétriques.
Le mois dernier, la DGFiP a détaillé une cyberattaque visant FICOBA, un actif informationnel dont la sensibilité dépasse largement le périmètre fiscal. FICOBA n’est pas une base « bancaire » au sens opérationnel, mais un registre national d’indexation des comptes, utilisé pour l’action publique, la lutte contre la fraude, certaines procédures judiciaires et, plus largement, la capacité de l’État à relier une identité à des relations bancaires. L’incident se distingue moins par une sophistication supposée que par ce qu’il révèle sur la surface d’attaque réelle des systèmes critiques, souvent distribuée entre applications, annuaires, postes d’administration, flux interservices et prestataires. La question centrale n’est donc pas uniquement « comment FICOBA a été atteint », mais comment une chaîne de confiance entière peut être fragilisée quand un maillon d’accès, de supervision ou de gouvernance cède.
Un registre critique attaqué, un signal sur la maturité de défense
Les éléments communiqués par l’administration confirment l’ampleur potentielle de l’exposition, avec la compromission des données d’1,2 million de personnes. Même sans entrer dans la nature exacte des champs exfiltrés, le risque est structurel. Un fichier d’index des comptes, corrélé à d’autres référentiels, devient un accélérateur de fraude et d’ingénierie sociale. Il permet de qualifier une cible, d’industrialiser des scénarios de prise de contact crédibles et de réduire l’incertitude des attaquants. Dans un paysage où les campagnes de phishing se professionnalisent, la valeur d’un tel registre réside autant dans la précision des métadonnées que dans la possibilité de les recouper avec des fuites tierces, publiques ou clandestines.
Sur le plan technique, un registre national n’est pas un monolithe isolé dans un coffre-fort. Il s’inscrit dans un SI vivant, avec des interfaces, des comptes de service, des mécanismes d’administration et des chaînes de traitement. Les scénarios plausibles d’accès non autorisé convergent généralement vers quelques familles de défaillances. D’abord, l’attaque par identité, via compromission d’un compte à privilèges, d’un poste d’administration ou d’un annuaire, reste le chemin le plus rentable. Ensuite, l’exploitation d’une exposition involontaire, par exemple une interface interne rendue accessible, une segmentation insuffisante ou un contrôle d’accès trop permissif. Enfin, la faiblesse des dispositifs de détection, lorsque l’exfiltration ou les requêtes anormales ne déclenchent pas d’alertes exploitables à temps. Dans tous les cas, la question de la « donnée sensible » se déplace vers celle des « chemins d’accès à la donnée », souvent plus nombreux que prévu, et parfois hérités de contraintes historiques.
Le vrai risque est systémique, car l’écosystème est interconnecté
La portée de l’incident dépasse FICOBA car les usages de la donnée financière et de l’identité sont désormais distribués entre administrations, banques, fintechs et prestataires spécialisés. L’épisode IDMerit illustre une autre facette du problème, non pas une intrusion confirmée mais une exposition par mauvaise configuration, avec une instance non protégée liée à IDMerit ayant laissé apparaître des volumes massifs d’enregistrements. Ce parallèle est instructif pour les décideurs. D’un côté, un registre étatique à haute criticité, de l’autre un acteur de la vérification d’identité opérant en coulisses. Dans les deux cas, la promesse implicite est la même, celle d’une chaîne de confiance robuste permettant de relier une personne, des justificatifs et des comptes. Or cette chaîne est aussi solide que son maillon le plus faible, et ce maillon peut être un stockage mal configuré, un jeton d’accès trop large, une journalisation incomplète ou un processus de revue des droits insuffisant.
Pour les organisations, l’enjeu n’est plus seulement la conformité, mais la résilience opérationnelle face à la corrélation des fuites. Une fuite d’identité chez un prestataire KYC, combinée à un registre de comptes ou à des données issues d’autres incidents, permet de passer du ciblage opportuniste à l’attaque personnalisée. C’est ici que la gouvernance des données rejoint la cybersécurité offensive. Les attaquants n’ont pas besoin d’un accès direct aux systèmes bancaires pour générer de la perte. Ils peuvent monétiser l’information, déclencher des fraudes au virement, des ouvertures de comptes, des usurpations, ou simplement alimenter des campagnes de chantage et de désinformation. La donnée devient un multiplicateur d’efficacité, et la défense doit intégrer cette logique de composition des risques.
Des attaquants plus industrialisés, une défense qui doit changer d’échelle
Le contexte technique évolue rapidement. La compromission d’équipements périmétriques et l’automatisation des chaînes d’attaque réduisent les délais entre découverte d’une faiblesse et exploitation à grande échelle. Les signaux autour de l’usage de l’IA générative par des groupes offensifs, notamment dans des campagnes visant des équipements de sécurité, vont dans ce sens, avec un groupe compromet des centaines de firewalls Fortinet. Le point clé n’est pas l’IA comme gadget, mais l’industrialisation. Génération de leurres plus crédibles, adaptation linguistique, scripts d’exploitation mieux documentés, reconnaissance accélérée, tout concourt à augmenter le volume et la vitesse. Pour des systèmes critiques, cela impose de réduire drastiquement la fenêtre d’exposition, en particulier sur les composants en bordure et les accès d’administration.
Dans ce cadre, la protection d’un registre comme FICOBA ne peut pas reposer sur une logique « périmètre plus dur ». Elle doit s’appuyer sur une architecture de contrôle continu. Première brique, l’isolement fort des chemins d’administration, avec postes dédiés, MFA résistant au phishing, suppression des accès persistants et rotation des secrets. Deuxième brique, une segmentation qui considère les applications, les bases et les flux comme des zones à risque distinctes, avec des politiques explicites de moindre privilège. Troisième brique, une observabilité orientée détection, pas seulement conformité, c’est-à-dire des journaux exploitables, corrélés, avec des seuils d’alerte adaptés aux usages réels et des playbooks de réponse testés. Enfin, une gouvernance des accès qui traite les habilitations comme un produit vivant, révisé, audité, et non comme un état figé.
Ce que l’incident change pour l’État et pour les entreprises
Pour l’État, l’enjeu est double. Il s’agit d’abord de restaurer la confiance dans la capacité à protéger des registres structurants, alors que la numérisation multiplie les interconnexions et les réutilisations de données. Il s’agit ensuite de faire évoluer les pratiques de sécurité vers un modèle plus proche des environnements à haute menace, avec des contrôles de type zero trust, une réduction des privilèges, et une capacité de détection et de réponse au niveau des standards des grandes infrastructures critiques. Pour les entreprises, notamment financières, l’incident renforce une obligation de lucidité. Les risques ne viennent pas uniquement de leur SI interne, mais de l’ensemble des dépendances, prestataires, API, outils de support et équipements exposés. La due diligence cyber doit donc être continue, contractuelle, mesurée, et intégrée aux décisions d’architecture.
À court terme, la priorité est de limiter l’exploitabilité secondaire, en anticipant les usages frauduleux de données exposées et en renforçant les contrôles sur les parcours sensibles, notamment ceux qui reposent sur des signaux d’identité. À moyen terme, l’incident doit accélérer une refonte des modèles de partage de données, avec une minimisation stricte, des durées de conservation maîtrisées, et des mécanismes de traçabilité permettant de comprendre qui a accédé à quoi, quand, et depuis quel contexte. La leçon la plus opérationnelle est peut-être la suivante. Dans un écosystème où les fuites se combinent et où l’attaque s’industrialise, la sécurité d’un registre critique ne se joue pas uniquement au niveau de la base, mais au niveau de la chaîne complète, identités, accès, supervision, prestataires et capacité de réaction. C’est sur cette chaîne que se jouera la prochaine étape, celle d’une cybersécurité enfin pensée comme une discipline de continuité de l’État et de l’économie numérique.
