Cybersécurité en France : panorama des actualités d’avril 2026 — fuites massives, vulnérabilités critiques, menace en industrialisation

L’année 2026 s’ouvre en France sur une séquence cyber d’une intensité inédite. Quatre fuites de données massives touchant des organismes publics ou des prestataires régaliens, trois alertes critiques actives au CERT-FR, un rapport annuel de la cybercriminalité confirmant une hausse de 87 % des atteintes numériques en cinq ans : la pression sur l’écosystème numérique français se confirme et s’aggrave. Cet article fait le point sur les incidents récents, ce qu’ils révèlent, qui ils concernent, et les réflexes à adopter.

Ce qu’il faut retenir

• L’ANTS (rebaptisée France Titres) a détecté un incident le 15 avril 2026 pouvant exposer jusqu’à 11,7 millions de comptes particuliers, avec mise en maintenance du portail depuis le 24 avril. La Semaine des Pyrénées
• L’affaire Cegedim Santé / MLM, révélée publiquement fin février 2026, concerne entre 11 et 15 millions de patients, dont environ 164 000 avec un risque sur des données sensibles.
• L’OFII a confirmé une fuite via un sous-traitant, exposant environ 2,1 millions de personnes signataires du contrat d’intégration républicaine.
• Le fichier FICOBA a été exploité entre le 28 janvier et le 13 février 2026 via une usurpation, exposant 1,2 million de RIB.
• Trois alertes CERT-FR sont actives ou viennent d’être clôturées en avril : Ivanti EPMM (CVE-2026-1281/1340), F5 BIG-IP APM (CVE-2025-53521) et ciblage des messageries instantanées.
• Le rapport COMCYBER-MI 2026 recense 453 200 atteintes numériques en France en 2025, soit une hausse de 87 % en cinq ans. FrenchBreaches

Les principales actualités cybersécurité récentes

Incident ANTS / France Titres — 15 avril 2026

• Organisation : Agence nationale des titres sécurisés (ANTS), portail ants.gouv.fr.
• Nature : accès non autorisé à des données de comptes particuliers et professionnels, exploité via une faille technique sur l’API du portail. Plusieurs sources spécialisées évoquent une vulnérabilité IDOR permettant d’accéder aux données d’un autre citoyen en modifiant un paramètre de requête. RGPDKit
• Données concernées : identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance, identifiant unique. Dans certains cas adresse postale, lieu de naissance, téléphone. Les pièces jointes et données de biométrie sont exclues à ce stade des investigations. Ministère de l’Intérieur
• Volume : jusqu’à 11,7 millions de comptes particuliers (chiffre officiel ANTS), entre 18 et 19 millions évoqués par certaines analyses externes (à confirmer).
• Conséquences : notification CNIL, signalement parquet de Paris, enquête confiée à l’OFAC, saisine de l’Inspection générale de l’administration, portail en maintenance depuis le 24 avril 2026 à 19h30.
• Certitude : confirmé par le ministère de l’Intérieur.
• Source : communiqués ministère de l’Intérieur (15, 21, 24 avril 2026).

Affaire Cegedim Santé / logiciel MLM — révélée le 26 février 2026

• Organisation : Cegedim Santé, éditeur du logiciel MonLogicielMedical (MLM).
• Nature : comportement anormal de requêtes applicatives identifié fin 2025 sur des comptes médecins. Selon Cegedim, le logiciel MLM est utilisé par 3 800 médecins en France dont 1 500 concernés par cette attaque. Cegedim
• Volume : environ 15 millions de patients exposés selon le ministère de la Santé, dont environ 164 000 avec risque sur des annotations sensibles en texte libre.
• Données : identité, coordonnées, et commentaires en texte libre potentiellement sensibles. Un chercheur en cybersécurité a évoqué la présence dans un échantillon de mentions liées à des pathologies, addictions, orientation sexuelle ou antécédents psychiatriques (à confirmer dans son ampleur exacte).
• Conséquences : ouverture d’enquête par le parquet de Paris, déclaration CNIL, controverse sur le délai d’information du public.
• Certitude : incident confirmé. Estimation du volume de patients impactés : plage 11–15 millions selon les sources.
• Source : communiqué Cegedim du 26 février 2026, ministère de la Santé, France 2.

Fuite OFII — 1er janvier 2026

• Organisation : Office français de l’immigration et de l’intégration.
• Nature : intrusion via un prestataire ayant accès aux données du contrat d’intégration républicaine (CIR).
• Volume : environ 2,1 millions de personnes selon les revendications publiées sur un forum cybercriminel.
• Données : identité, coordonnées (email, téléphone, parfois adresse postale), données de parcours (formations).
• Conséquences : notification aux personnes concernées, alerte sur les risques de phishing ciblé exploitant le contexte administratif.
• Certitude : confirmé par l’OFII.
• Source : communiqué OFII, Le Monde, INCYBER NEWS.

Exploitation du fichier FICOBA — 28 janvier au 13 février 2026

• Organisation : Direction générale des Finances publiques (DGFiP).
• Nature : un acteur se faisant passer pour un agent gouvernemental a accédé au Fichier national des comptes bancaires.
• Volume : 1,2 million de RIB exposés avec identité complète des titulaires.
• Risques : prélèvements frauduleux, phishing bancaire, fraude SEPA.
• Certitude : confirmé par la DGFiP.
• Source : itsense, presse spécialisée (à recouper avec communiqué officiel DGFiP).

Alertes CERT-FR critiques en avril 2026

• CERTFR-2026-ALE-001 (Ivanti EPMM) : CVE-2026-1281 et CVE-2026-1340, CVSS 9.8. Ces vulnérabilités permettent à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance et sont activement exploitées. Une preuve de concept publique est disponible depuis le 2 février 2026. CERT-FR
• CERTFR-2026-ALE-004 (F5 BIG-IP APM) : CVE-2025-53521, RCE non authentifiée, exploitation active confirmée par F5 le 29 mars 2026.
• CERTFR-2026-ALE-003 (messageries instantanées) : campagnes ciblant les comptes des secteurs régaliens, alerte clôturée le 20 avril 2026.
• Source : CERT-FR (cert.ssi.gouv.fr).

Rapport COMCYBER-MI 2026 — publié le 29 avril 2026

• Organisation : Centre d’analyse et de regroupement des cybermenaces du ministère de l’Intérieur.
• Constats clés : 453 200 atteintes numériques recensées en 2025 ; 1 347 revendications d’attaques visant la France en 2025 (+27 % vs 2024) ; près des deux tiers des attaques motivées par des causes politiques ou religieuses, 78 % faisant référence au conflit en Ukraine ; recul des défigurations de sites (152 en 2024 → 19 en 2025) au profit d’opérations plus rentables ou plus médiatiques. FrenchBreaches
• Source : Gendarmerie nationale, COMCYBER-MI.

Ce que ces événements révèlent sur l’évolution des cybermenaces

Quatre tendances se confirment.

1. Le maillon faible se déplace vers la chaîne sous-traitante et les API publiques. OFII, Cegedim et ANTS partagent un schéma commun : ce ne sont pas les SI centraux qui cèdent, mais un prestataire, un éditeur tiers ou une interface programmable mal contrôlée. La surface d’exposition réelle d’une administration ne se limite plus à son périmètre direct.

2. L’exploitation de vulnérabilités critiques est désormais quasi immédiate. Les CVE Ivanti EPMM ont été activement exploitées avant même la publication d’une preuve de concept publique. Le délai entre divulgation et exploitation continue de se compresser, rendant la cadence de patching des entreprises structurellement insuffisante.

3. Les fuites administratives alimentent un marché de phishing ultra-ciblé. Le croisement des bases (URSSAF, OFII, ANTS, FICOBA) permet de construire des messages frauduleux contenant des éléments authentiques sur la victime — employeur exact, numéro de dossier, date de démarche — qui contournent les réflexes de méfiance habituels.

4. La cybercriminalité s’industrialise et se politise. Le rapport COMCYBER-MI confirme la prééminence du Ransomware-as-a-Service, la montée des attaques DDoS hacktivistes (89,2 % des modes d’action hacktivistes) et l’imbrication croissante avec la géopolitique.

Qui est concerné

• Particuliers ayant fait une démarche sur ants.gouv.fr (carte d’identité, passeport, permis, carte grise) ; patients d’un cabinet médical équipé du logiciel MLM ; signataires d’un CIR auprès de l’OFII ; titulaires de comptes bancaires en France pour le FICOBA.
• Entreprises exploitant Ivanti EPMM, F5 BIG-IP APM, ainsi que les piles régulièrement listées dans les bulletins CERTFR-2026-ACT (Microsoft, Fortinet, Mozilla, GLPI, noyau Linux).
• Collectivités et établissements de santé, principales cibles des groupes Akira, Qilin, RansomHub, DragonForce.
• PME/ETI françaises, identifiées par l’ANSSI comme cibles privilégiées en raison d’une maturité cyber inégale et d’un rôle de fournisseur dans des chaînes plus larges.

Les conséquences concrètes pour les entreprises et les particuliers

Pour les particuliers : exposition durable à des campagnes de phishing ciblé combinant données administratives authentiques ; risque d’usurpation d’identité administrative (titres) ou bancaire (mandats SEPA frauduleux) ; pour les patients dont le médecin utilisait MLM, risque résiduel d’exposition d’éléments médicaux insérés en commentaire libre.

Pour les entreprises : interruption opérationnelle en cas de chiffrement ransomware ; coût direct (rançon, restauration, perte d’exploitation) et indirect (sanctions CNIL, perte de confiance, primes d’assurance) ; responsabilité élargie via NIS2, dont la transposition française entre en vigueur ; obligation contractuelle de cascade vis-à-vis des prestataires détenant des données sensibles.

Les bons réflexes à adopter

Actions immédiates

• Pour les usagers ANTS : changer le mot de passe à la prochaine reconnexion ; rester vigilant face aux SMS, courriels ou appels se prétendant émanant de l’ANTS ou France Titres ; vérifier ses identifiants sur Have I Been Pwned.
• Pour les patients : interroger son médecin sur l’usage du logiciel MLM ; activer la double authentification sur les espaces patients (Doctolib, Ameli, mutuelles).
• Pour les RSSI : vérifier l’exposition d’instances Ivanti EPMM (versions ≤ 12.7.0.0) et de F5 BIG-IP APM, appliquer les correctifs et chercher des indicateurs de compromission rétroactivement.
• Pour les particuliers exposés au FICOBA : surveiller les relevés bancaires sur six mois, activer les alertes SMS de débit, demander à sa banque la mise en place d’une liste blanche de créanciers.

Mesures de fond

• Auditer la chaîne sous-traitante manipulant des données personnelles : conformité RGPD contractuelle, certifications, journalisation des accès.
• Mettre en place une politique de patching priorisée par exploitabilité (catalogue CISA KEV, alertes CERT-FR), avec délais cibles sur vulnérabilités critiques.
• Déployer la double authentification résistante au phishing (FIDO2) sur tous les accès sensibles, en particulier la messagerie professionnelle.
• Mettre en place sauvegardes hors ligne immuables et exercices de restauration réguliers.
• Aligner la gouvernance sur NIS2 même hors périmètre obligatoire.

Erreurs à éviter

• Cliquer sur les liens contenus dans les SMS ou courriels relatifs aux démarches ANTS, OFII ou bancaires : passer systématiquement par le site officiel saisi à la main.
• Présumer qu’un correctif appliqué clôt l’incident : si un équipement Ivanti ou F5 a été exposé avant patch, considérer la compromission possible et chercher activement les indicateurs.
• Considérer la cybersécurité comme un sujet purement technique : les processus de notification, la communication de crise et la gouvernance pèsent désormais autant que le pare-feu.
• Réutiliser le même mot de passe sur plusieurs services administratifs ou marchands.

Les points à surveiller dans les prochaines semaines

• Évolution du dossier ANTS / France Titres : ampleur définitive confirmée, conclusions de l’IGA, conditions de réouverture du portail.
• Suite judiciaire de l’affaire Cegedim et sanctions éventuelles de la CNIL.
• Mises à jour des alertes CERT-FR ALE-001 et ALE-004 ; nouvelles alertes potentielles autour du Patch Tuesday de mai 2026.
• Vagues de phishing exploitant les bases ANTS/OFII/FICOBA, attendues à 2–6 mois après la fuite.
• Avancement de la transposition française de NIS2 et premiers contrôles.
• Activité des groupes Akira, Qilin, RansomHub, DragonForce sur le tissu PME/ETI français.

Conclusion

L’actualité cybersécurité française d’avril 2026 ne se lit pas comme une succession d’incidents isolés mais comme la confirmation d’un changement d’échelle : volume des fuites, vitesse d’exploitation des failles, dépendance aux sous-traitants, industrialisation de l’attaque. Pour les organisations comme pour les individus, la posture adaptée n’est plus la réaction ponctuelle mais la mise en place d’une vigilance structurelle — sur les comptes, les données, les accès, et la chaîne contractuelle.

FAQ

Mes données ANTS ont-elles fuité ? Si vous avez créé un compte sur ants.gouv.fr pour une demande de titre (carte d’identité, passeport, permis, carte grise), vous êtes potentiellement concerné. Le ministère de l’Intérieur informe directement les usagers concernés par courriel.

Comment savoir si mon médecin utilise le logiciel MLM de Cegedim ? La seule voie fiable est de poser la question directement à votre médecin généraliste. Cegedim n’a pas mis en place de service de notification individuelle.

Faut-il changer son mot de passe ANTS ? Oui, à la prochaine connexion une fois le portail rouvert, par hygiène numérique, même si l’agence indique que les mots de passe ne sont pas concernés par la fuite.

Quelles vulnérabilités traiter en priorité côté entreprise ? Au 30 avril 2026, Ivanti EPMM (CVE-2026-1281 et CVE-2026-1340) et F5 BIG-IP APM (CVE-2025-53521) sont activement exploitées et doivent être corrigées en priorité absolue.

La France est-elle particulièrement ciblée ? Plusieurs sources publiques (COMCYBER-MI, médias spécialisés) placent la France parmi les premiers pays européens en volume de fuites et de revendications d’attaques début 2026, avec une hausse de 27 % des revendications en 2025 par rapport à 2024.

Quelle suite réglementaire ? La transposition française de la directive NIS2 étend largement le périmètre des entités soumises à des obligations renforcées de gestion des risques cyber, de notification d’incident et de continuité d’activité.

Sources utilisées

• Ministère de l’Intérieur — communiqués des 15, 21 et 24 avril 2026 sur l’incident ANTS / France Titres. Information principale : périmètre des données exposées, jusqu’à 11,7 millions de comptes, mise en maintenance du portail.
• CERT-FR / ANSSI — alertes CERTFR-2026-ALE-001 (Ivanti EPMM, 30 janvier 2026), CERTFR-2026-ALE-003 (messageries, 20 mars 2026, clôturée 20 avril 2026), CERTFR-2026-ALE-004 (F5 BIG-IP APM). Information principale : vulnérabilités activement exploitées, recommandations.
• ANSSI — communiqué du 27 avril 2026 sur Locked Shields 2026. Information principale : participation française, troisième place avec la Suède.
• Cegedim — communiqué du 26 février 2026. Information principale : 3 800 médecins utilisateurs de MLM, 1 500 concernés.
• France Assos Santé / Caducee.net / Solutions Numériques — articles de février-mars 2026. Information principale : ampleur estimée à 11–15 millions de patients, 164 000 cas avec données sensibles.
• OFII — communiqué de janvier 2026. Information principale : compromission via un sous-traitant du contrat d’intégration républicaine, environ 2,1 millions de personnes exposées.
• Banque des Territoires (Localtis) — article de janvier 2026. Information principale : enchaînement OFII / DINUM / URSSAF / Intérieur.
• Gendarmerie nationale (Gendinfo) — Rapport annuel sur la cybercriminalité 2026 publié le 29 avril 2026 par le COMCYBER-MI. Information principale : 453 200 atteintes numériques en 2025, +87 % en cinq ans.
• CNIL (cnil.fr) — référent en matière de notification de fuites et droits des personnes.
• CISA Known Exploited Vulnerabilities Catalog — référence pour la priorisation des correctifs.