Question écrite : fuite de données des participants au SNU

Question écrite au gouvernement déposée le 19/12/2023

M. Bastien Lachaud interroge Mme la secrétaire d’État auprès du ministre des armées et du ministre de l’éducation nationale et de la jeunesse, chargée de la jeunesse et du service national universel sur la récente fuite de données personnelles de participants au Service National Universel (SNU). Depuis le 22 novembre 2023, une base de données du SNU contenant les données personnelles de plus de 60 000 mineurs est en vente sur un forum de cybercriminels pour la somme de 50 dollars. La situation a été signalée au ministère de l’Éducation nationale dès le 24 novembre. Ce n’est qu’à partir du mercredi 6 décembre 2023 que des milliers de volontaires du SNU ont été informés du vol de leurs données. Les informations dérobées sont : le nom, le prénom, la date de naissance, l’adresse postale et l’adresse mail. Cette fuite de données concernerait 62 500 jeunes (nouveaux et anciens volontaires) et 87 000 parents, soit environ 150 000 personnes. Dans le mail envoyé aux victimes de cette fuite, l’administration du SNU explique avoir porté plainte et mettre « tout en oeuvre pour limiter la diffusion de ces données, avec l’aide des autorités ». Aucune information n’a cependant été fournie aux victimes pour prévenir les risques d’hameçonnage (phishing) découlant du vol de données. Enfin, l’administration ne précise pas d’où provient la fuite. Nous ne savons donc pas comment un cybercriminel a accédé aux données personnelles de 150 000 personnes inscrites sur le site du SNU rattaché à l’Education nationale. De plus, le SNU permettant d’obtenir automatiquement le Certificat Individuel de Participation (CIP) à la Journée Défense et Citoyenneté (JDC). Ces données revêtent ainsi un caractère particulièrement sensible. Cette situation interroge sur la politique de sécurité des données mise en place par le SNU. Il est crucial d’établir l’origine de cette cyberattaque afin de renforcer les défenses et de prévenir de futures violations de données. C’est pourquoi Monsieur le Député souhaite savoir si les services du ministère connaissent l’origine de la cyberattaque (erreur interne ou contournement des systèmes de sécurité mis en place) et, au surplus, les mesures envisagées par Monsieur le ministre pour prévenir ce genre d’attaque. Celui-ci souhaite également savoir où sont stockées les données utilisées par le site du SNU (en France, en Europe ou à l’étranger). Enfin, Monsieur le Député souhaite savoir si les victimes de la cyberattaque recevront une information concernant les risques d’hameçonnage dont ils pourraient être la future cible.