Le 9 janvier 2026, la direction interministérielle du numérique (DINUM) a détecté une intrusion majeure sur HubEE, la plateforme d'échange de documents administratifs utilisée par plusieurs administrations, notamment pour les démarches sur Service-public.gouv.fr.
Les pirates ont exfiltré 160 000 documents contenant des données sensibles, représentant environ 70 000 dossiers d'usagers. Cette nouvelle attaque contre l'infrastructure de l'État français soulève des questions sur la résilience des systèmes publics face aux cybermenaces.
HubEE, vous ne connaissez probablement pas son nom. Pourtant, cette plateforme traite vos données à chaque fois ou presque que vous effectuez une démarche en ligne auprès de l'administration. Elle sert de tuyau numérique entre différents services de l'État, et fait circuler les documents nécessaires aux procédures dématérialisées proposées notamment sur Service-public.gouv.fr.
Cette cyberattaque illustre une réalité préoccupante : les infrastructures critiques de l'État ne sont pas à l'abri. Après les attaques sur le ministère de l'Intérieur en décembre 2025, le ministère des Sports, et La Poste, c'est désormais une plateforme centrale de l'administration qui est touchée.
L'incident, détecté le 9 janvier 2026, a permis aux hackers d'infiltrer des milliers de dossiers d'usagers avant que les équipes techniques de la DINUM ne bloquent l'attaquant et ne renforcent les mécanismes de sécurité. Il a fallu trois jours de travail pour sécuriser complètement la plateforme, qui a été remise en service le 12 janvier.
Les travaux menés par la DINUM ont permis d'identifier et de caractériser les données exfiltrées par l'attaquant : de l'ordre de 70 000 dossiers représentant un total de 160 000 documents, contenant pour certains des données personnelles.
Point important : À ce jour, les données exfiltrées n'ont pas été publiées par les pirates. La DINUM a mis en place une veille active pour surveiller d'éventuelles fuites ou tentatives d'exploitation. Cependant, le risque d'exploitation malveillante (phishing, usurpation d'identité) reste présent tant que les données ne sont pas récupérées ou rendues inutilisables.
Source : DINUM, 16 janvier 2026
Quatre directions ministérielles sont particulièrement concernées par cette fuite de données. Elles travaillent désormais avec la DINUM pour organiser l'information des usagers impactés.
La DILA est responsable de Service-public.gouv.fr, la plateforme de référence pour les démarches administratives en ligne. Les usagers ayant effectué des démarches via cette plateforme peuvent être concernés par la fuite de données.
La DGCS gère de nombreuses politiques sociales et utilise HubEE pour échanger des documents administratifs. Les dossiers liés aux démarches sociales peuvent être concernés.
La DGS, responsable des politiques de santé publique, utilise également HubEE pour ses échanges documentaires. Les données de santé peuvent être particulièrement sensibles en cas de fuite.
La CNAF, qui gère les allocations familiales et de nombreuses prestations sociales, est également impactée. Des millions de foyers français sont clients de la CNAF.
Information des usagers : Les administrations concernées organisent l'information des usagers impactés. La DILA a notamment indiqué que les usagers qui ont été mis au courant d'une potentielle fuite de leurs données peuvent contacter le service juridique de l'administration, via l'adresse rgpd@dila.gouv.fr.
Dès la découverte de la brèche le 9 janvier, les équipes techniques de la DINUM ont bloqué l'attaquant et renforcé les mécanismes de sécurité. Plusieurs mesures ont été mises en place pour empêcher toute nouvelle intrusion.
Enseignement important : Comme pour le ministère de l'Intérieur en décembre 2025, ces mesures arrivent après la compromission. L'authentification à double facteur pour les administrateurs aurait pu empêcher ou limiter l'intrusion si elle avait été en place en amont. Cette situation illustre l'importance de la prévention et de la mise en place de mesures de sécurité robustes avant qu'un incident ne survienne.
La procédure habituelle des incidents majeurs a été enclenchée. La DINUM a respecté ses obligations réglementaires en notifiant les autorités compétentes et en déposant plainte.
Conformément au RGPD, une notification a été effectuée auprès de la Commission nationale de l'informatique et des libertés (CNIL) dans les délais requis.
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a été alertée pour son expertise en cybersécurité et sa capacité à coordonner la réponse à incident.
Le Premier ministre a été informé de l'incident, conformément aux procédures pour les cyberattaques majeures touchant l'État.
Une plainte a été déposée auprès de la police judiciaire le 12 janvier 2026. L'affaire est désormais entre les mains de la justice.
Ces procédures illustrent l'importance de la préparation à la gestion de crise cyber, notamment pour respecter les obligations réglementaires (RGPD, notification CNIL sous 72 heures) et coordonner la réponse avec les autorités compétentes.
L'attaque sur HubEE montre que même les infrastructures critiques de l'État ne sont pas à l'abri. Votre entreprise peut être la prochaine cible.
Faites le point sur votre exposition, évaluez vos mesures de protection, et découvrez comment une assurance cyber peut financer votre réponse à incident et limiter l'impact financier d'une attaque.
Évaluer mon exposition et obtenir un devisEstimation indicative non contractuelle. Courtier d'assurance immatriculé.
Cette cyberattaque sur HubEE, qui survient après une série d'incidents majeurs en fin d'année 2025, apporte plusieurs enseignements pour les entreprises françaises.
HubEE est une plateforme centrale de l'administration française, utilisée par de nombreuses administrations pour échanger des documents. Pourtant, elle a été compromise. Aucune infrastructure, même critique, n'est immunisée contre les cyberattaques.
Action : Ne pas se reposer sur la taille ou l'importance de l'infrastructure. Chaque entreprise, quelle que soit sa taille, doit investir dans la cybersécurité et la préparation à la gestion de crise.
La DINUM a rendu l'authentification à double facteur (MFA) obligatoire pour les comptes administrateurs après l'incident. Cette mesure aurait pu empêcher ou limiter l'intrusion si elle avait été en place en amont.
Action : Généraliser l'authentification forte (MFA) sur tous les accès critiques, pas seulement après un incident. Les comptes administrateurs, les accès aux systèmes critiques, et les comptes privilégiés doivent tous être protégés par MFA.
L'intrusion a été détectée le 9 janvier, et les équipes techniques ont réagi rapidement pour bloquer l'attaquant. Cependant, les pirates avaient déjà eu le temps d'exfiltrer 160 000 documents avant la détection.
Action : Mettre en place une surveillance continue (SIEM, EDR, monitoring des flux) pour détecter les intrusions le plus tôt possible. Plus une intrusion est détectée rapidement, moins les dégâts sont importants.
La DINUM a respecté les procédures réglementaires (notification CNIL, alerte ANSSI, plainte) et a organisé l'information des usagers. Cette préparation à la gestion de crise a permis une réponse structurée malgré l'urgence.
Action : Préparer un plan de réponse à incident testé, identifier les rôles clés, préparer les procédures de notification (CNIL, autorités), et s'entraîner régulièrement à la gestion de crise cyber.
La DINUM a communiqué officiellement le 16 janvier, présenté ses excuses aux usagers impactés, et mis en place une veille active. Cette communication transparente est essentielle pour maintenir la confiance malgré l'incident.
Action : Préparer des procédures de communication de crise, identifier les porte-parole, préparer des messages types, et communiquer rapidement et transparentement en cas d'incident.
Les 70 000 dossiers et 160 000 documents exfiltrés contiennent des données personnelles qui peuvent être exploitées par les cybercriminels pour des campagnes de phishing ciblées ou des tentatives d'usurpation d'identité.
Point rassurant : À ce jour, les données exfiltrées n'ont pas été publiées par les pirates. La DINUM a mis en place une veille active pour surveiller d'éventuelles fuites ou tentatives d'exploitation. Cependant, la vigilance reste de mise, car les données peuvent être exploitées à tout moment.
Face à ces menaces croissantes, les entreprises doivent adopter une approche globale combinant prévention, détection, réponse et protection financière.
L'approche en couches : Aucune mesure seule ne suffit. La résilience passe par une combinaison de mesures techniques (prévention, détection), organisationnelles (préparation, formation) et financières (assurance). C'est cette approche en couches qui permet de limiter l'impact d'une attaque et de restaurer rapidement l'activité.
L'attaque sur HubEE en janvier 2026 montre que même les infrastructures critiques de l'État ne sont pas à l'abri. Après les attaques de fin d'année 2025 (La Poste, ministère des Sports, ministère de l'Intérieur), cette nouvelle intrusion confirme que les cybermenaces sont persistantes et sophistiquées.
Les enseignements sont clairs : l'authentification forte doit être généralisée, la détection doit être continue, et la préparation à la gestion de crise est essentielle. Les mesures de sécurité mises en place après l'incident auraient dû être en place en amont.
Pour les entreprises, l'enjeu est clair : investir dans la prévention, préparer la réponse à incident, et se doter d'une protection financière via l'assurance cyber. C'est cette approche globale qui permet de limiter l'impact des attaques et de maintenir la confiance des clients et partenaires.
Évaluer ma résilience cyber et obtenir un devisEstimation indicative non contractuelle. Courtier d'assurance immatriculé.