Le service Pajemploi, géré par l’Urssaf et utilisé par les parents employeurs pour déclarer et payer assistants maternels et gardes d’enfants à domicile, a été victime d’un vol de données le 14 novembre. Selon l’organisme, jusqu’à 1,2 million de salariés pourraient être concernés par cette cyberattaque qualifiée de « cybermalveillance ».
Un service central pour la garde d’enfants à domicile
Pajemploi est le dispositif de l’Urssaf dédié aux particuliers employeurs qui font garder leurs enfants par un assistant maternel agréé ou une garde d’enfants à domicile. Il permet de déclarer chaque mois le salaire, de calculer et prélever les cotisations sociales, d’éditer les bulletins de paie et de gérer le prélèvement à la source, rappelle la fiche de présentation officielle du service.
Chaque mois, ce portail traite les données de centaines de milliers de familles et de professionnels de la petite enfance. C’est précisément ce volume d’informations, concentré sur une même plateforme, qui rend ce type de service particulièrement sensible en matière de cybersécurité. D’après l’Urssaf, l’incident identifié le 14 novembre vise uniquement Pajemploi et ne touche aucun autre service de son réseau.
Quelles données ont été dérobées ?
Dans son communiqué, l’Urssaf détaille la nature des informations potentiellement extraites : nom, prénom, date et lieu de naissance, adresse postale, numéro de Sécurité sociale, nom de l’établissement bancaire, numéro Pajemploi et numéro d’agrément. En revanche, l’institution insiste sur ce qui n’a pas été compromis : aucun numéro de compte bancaire (IBAN), aucune adresse mail, aucun numéro de téléphone, aucun mot de passe de connexion ne ferait partie des données volées.
Le fonctionnement du service n’est pas affecté : déclarations mensuelles et paiements des salaires continuent de se faire normalement, précise encore l’Urssaf.
Quels risques pour les salariés concernés ?
Si les coordonnées bancaires complètes ne semblent pas avoir été dérobées, le niveau de détail des informations récupérées reste élevé. Plusieurs spécialistes de la cybersécurité cités par 01net, DemarchesAdministratives.fr ou encore le Journal du Geek soulignent que l’association identité complète + adresse postale + numéro de Sécurité sociale peut alimenter des tentatives d’usurpation d’identité ou des campagnes de phishing ciblé.
L’Urssaf appelle déjà les usagers à la vigilance face à d’éventuels courriels, SMS ou appels frauduleux se réclamant de Pajemploi, de banques ou d’administrations, qui chercheraient à obtenir des codes de connexion ou des informations complémentaires. Les personnes concernées doivent être contactées individuellement par l’organisme, qui met également à disposition une adresse mail et un numéro de téléphone dédiés pour répondre aux questions.
Plainte pénale, CNIL et ANSSI saisies
Conformément aux obligations du RGPD en cas de violation de données personnelles, l’Urssaf indique avoir notifié l’incident à la Commission nationale de l’informatique et des libertés (CNIL) ainsi qu’à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Une plainte pénale doit également être déposée auprès du procureur de la République.
L’organisme affirme avoir pris des « mesures nécessaires » pour faire cesser l’attaque, en identifier les causes et renforcer la protection de ses systèmes d’information, tout en présentant ses excuses pour cette atteinte à la confidentialité des données.
Au-delà du cas Pajemploi, cet épisode rappelle la vulnérabilité des services en ligne qui concentrent des données sociales sensibles et la nécessité, pour les usagers comme pour les institutions, d’une vigilance durable face aux cyberattaques et aux usages frauduleux des informations personnelles.
En savoir plus sur Figures Publiques
Subscribe to get the latest posts sent to your email.
