.svg)
En résumé. L'Insee a subi une fuite de son annuaire interne, touchant 12 800 agents et anciens agents, sans donnée bancaire ni sensible exposée. Le danger pour une entreprise n'est pas la fuite elle-même, mais ce que des attaquants peuvent faire avec un carnet d'adresses professionnel vérifié.
Ce qui s'est passé
Le 26 juin 2026, l'Insee a annoncé avoir été visé par une cyberattaque ciblant son annuaire interne, baptisé Trombi. L'incident a été détecté le 19 juin. Il expose l'identité et les coordonnées professionnelles d'environ 12 800 agents, anciens agents et membres de ses corps, selon les informations rapportées par Usine Digitale et Le Monde Informatique.
L'institut précise qu'aucune donnée bancaire ni donnée sensible n'a été touchée. La fuite porte sur des noms, des fonctions, des affectations et des contacts professionnels. Comme le RGPD l'exige, l'Insee a notifié la CNIL et déposé une plainte auprès du procureur de la République.
Suis-je concerné ?
Vous n'êtes pas l'Insee, mais le mécanisme qui suit vous concerne directement. Un annuaire professionnel volé donne aux attaquants une matière première de qualité : des noms exacts, des intitulés de poste réels et des adresses qui fonctionnent. Avec ça, ils fabriquent des messages crédibles, adressés à la bonne personne, au nom d'un collègue ou d'un partenaire qui existe vraiment.
Le risque se déplace vers vous dès qu'un de vos salariés, fournisseurs ou clients figure dans une base de ce type. Un faux mail "de la part de" un contact connu, une demande de virement urgente, une pièce jointe piégée : tout devient plus difficile à repérer quand l'expéditeur semble légitime. Les coordonnées seules suffisent. Pas besoin de mot de passe pour lancer une vague de spear-phishing.
Que faire maintenant
1. Rappelez la règle du double contrôle. Toute demande de virement, de changement d'IBAN ou d'accès reçue par mail ou message se vérifie par un second canal connu d'avance, par exemple un appel sur un numéro déjà enregistré. C'est le réflexe qui bloque la majorité des fraudes, même bien ficelées.
2. Renforcez l'authentification sur Microsoft 365. Activez le MFA partout et surveillez les règles de transfert automatique de boîtes mail, souvent posées par un attaquant après une première compromission. Un compte protégé limite fortement les dégâts d'un mail piégé qui passe.
3. Prévenez vos équipes avec un exemple concret. Une note courte vaut mieux qu'une formation oubliée. Montrez à quoi ressemble un faux mail bien fait, et désignez une personne à qui signaler le moindre doute, sans crainte de déranger.
Pour aller plus loin sur ce type d'attaque ciblée, voir notre dossier sur le spear-phishing en entreprise.
Un doute sur votre exposition ?
Faites le point avec un expert IT Systèmes
Audit rapide de votre exposition et des réflexes à mettre en place. Sans engagement.
En bref
La fuite de l'annuaire de l'Insee ne vous vise pas, mais elle nourrit des attaques qui, elles, peuvent viser n'importe quelle entreprise. Le bon réflexe n'est pas de paniquer, c'est de verrouiller les virements par double contrôle et de durcir l'accès aux boîtes mail. Avec ces deux gestes en place, une coordonnée volée reste sans effet.
Questions fréquentes
Mes données sont-elles dans cette fuite ? Seulement si vous travaillez ou avez travaillé pour l'Insee. En revanche, n'importe quelle entreprise peut recevoir des mails frauduleux fabriqués à partir de ces coordonnées.
Faut-il changer ses mots de passe ? Cette fuite ne contient pas de mots de passe. Le bon réflexe reste l'authentification à deux facteurs et la vigilance sur les mails inhabituels.
— Samir Amara, CEO — IT Systèmes
.svg)