

Le 26 juin 2026, l'Institut national de la statistique et des études économiques (INSEE) a annoncé avoir été victime d'une cyberattaque ayant ciblé son annuaire interne, hébergé sur la plateforme trombi.insee.fr. Usine Digitale rapporte que la violation de données expose l'identité et les coordonnées professionnelles d'environ 12 800 personnes ayant travaillé ou travaillant actuellement à l'INSEE, ainsi que des personnes issues des corps statistiques de l'État relevant de l'INSEE. Le cybercriminel à l'origine de la revendication opère sous le pseudonyme "Saturne" et a publié sur un forum spécialisé un export correspondant à l'état de l'annuaire en juin 2026. L'INSEE précise qu'aucune donnée sensible n'est concernée : mots de passe, coordonnées personnelles, données bancaires, numéros de sécurité sociale et informations de santé sont hors du périmètre de la fuite.
L'Institut national de la statistique et des études économiques est l'autorité statistique nationale de la France. Il produit et publie les statistiques officielles sur l'économie, la société, la démographie et les territoires français, notamment les chiffres du chômage, de l'inflation, de la croissance, du recensement de population et des indices de prix. L'INSEE emploie environ 5 500 agents permanents et fait appel à des vacataires et des corps détachés pour ses missions de terrain et ses fonctions transversales. Il dispose de 26 directions régionales réparties sur l'ensemble du territoire.
L'annuaire interne trombi.insee.fr est un outil de travail standard dans toute grande organisation : il permet aux agents de trouver les coordonnées d'un collègue, de localiser un service, d'identifier la bonne personne à contacter pour un projet ou une demande. Ce type d'outil est généralement accessible à l'ensemble du personnel via l'intranet de l'organisation, avec une authentification par compte de domaine. Sa valeur opérationnelle est directement proportionnelle à sa complétude et à sa mise à jour, ce qui signifie qu'il contient par construction une photographie précise de l'organisation à un instant donné.
Le fait que l'annuaire soit hébergé sur un sous-domaine dédié (trombi.insee.fr) plutôt que dans les profondeurs d'un portail intranet principal indique une application distincte, avec potentiellement ses propres contrôles d'accès et son propre périmètre de sécurité. Les applications internes de ce type, développées ou déployées pour des usages spécifiques, font parfois l'objet d'une attention de sécurité moindre que les applications principales, notamment en ce qui concerne la gestion des authentifications et les contrôles d'accès sur les fonctions d'export.
FrenchBreaches a documenté la revendication de "Saturne" sur un forum cybercriminel. L'acteur a publié ce qu'il présente comme un export complet de trombi.insee.fr, daté de juin 2026 et contenant environ 12 800 fiches d'agents. La publication a eu lieu sur un forum spécialisé dans la diffusion et la vente de données volées, où les acteurs publient soit directement la base, soit des échantillons permettant d'en vérifier l'authenticité avant achat.
L'INSEE a confirmé dans sa communication publique du 26 juin qu'une cyberattaque avait ciblé son annuaire interne et entraîné une violation de données personnelles. Cette confirmation officielle est importante : elle signifie que l'INSEE a pu vérifier la réalité de la compromission et que les données publiées par "Saturne" correspondent bien à une extraction réelle de ses systèmes, et non à un assemblage de données issues d'autres fuites présentées frauduleusement comme provenant de l'INSEE. À la date de publication de la communication de l'INSEE, les investigations étaient toujours en cours pour déterminer le vecteur d'accès exact et l'étendue précise de la compromission.
La méthode exacte utilisée par "Saturne" pour accéder à l'annuaire n'a pas été précisée dans les communications publiques. Plusieurs vecteurs sont techniquement possibles : l'exploitation d'une vulnérabilité dans l'application trombi.insee.fr elle-même, l'utilisation de credentials compromis permettant l'accès authentifié à l'annuaire avec des droits d'export, ou une mauvaise configuration ayant rendu une interface d'export accessible sans authentification appropriée.
Les données dont la violation est confirmée comprennent les informations habituellement présentes dans un annuaire d'entreprise : l'identité de l'agent (nom, prénom), son titre ou grade professionnel, son service d'appartenance et sa localisation géographique au sein de l'organisation, son numéro de téléphone professionnel, et son adresse e-mail professionnelle. Ces données correspondent au profil professionnel tel qu'il est normalement visible par l'ensemble des collègues d'une organisation via son annuaire interne.
Pour les 12 800 personnes concernées, il s'agit à la fois d'agents actuellement en poste à l'INSEE et d'anciens agents dont les fiches n'avaient pas encore été supprimées de l'annuaire, ainsi que de personnes issues de corps statistiques qui exercent leurs fonctions dans d'autres administrations mais restent rattachées administrativement à l'INSEE. Cette dernière catégorie est particulièrement intéressante d'un point de vue analytique : des agents de l'INSEE peuvent être détachés dans des ministères, des organismes publics ou des institutions internationales, et leur présence dans l'annuaire constitue une information sur leur appartenance à un corps spécialisé potentiellement moins évidente dans leur affectation courante.
L'INSEE a explicitement précisé dans sa communication que les mots de passe des agents, leurs coordonnées personnelles (adresse personnelle, téléphone personnel), leurs données bancaires, leurs numéros de sécurité sociale et leurs informations de santé ne sont pas concernés par la violation. Cette délimitation est importante car elle permet aux agents de l'INSEE de comprendre que leur exposition personnelle est limitée aux données professionnelles publiquement connues de leurs collègues.
La distinction entre données professionnelles et données personnelles a une importance pratique pour l'évaluation du risque. Les données professionnelles exposées sont, par définition, celles qu'un agent partage avec ses collègues dans le cadre de son travail. Un ex-collègue qui a quitté l'INSEE dispose probablement déjà de la plupart de ces informations pour les agents avec lesquels il a été en contact. La valeur ajoutée de la base pour un attaquant est la capacité à obtenir ces informations pour l'ensemble des 12 800 agents en une seule extraction, plutôt que de les collecter individuellement.
Il convient cependant de noter que, même sans données bancaires ou de santé, un annuaire organisationnel complet d'une institution statistique nationale a une valeur informationnelle qui dépasse la somme des données individuelles qu'il contient. Il révèle la structure organisationnelle de l'INSEE, les effectifs par service et par région, les niveaux hiérarchiques et les canaux de communication internes, ce qui est une information utile pour quiconque cherche à comprendre ou à cibler l'organisation.
L'INSEE est une institution qui produit et maintient des données économiques et sociales sensibles pour l'État français. Ses agents travaillent sur des projets statistiques qui peuvent avoir une valeur stratégique avant leur publication officielle : les chiffres du chômage ou de l'inflation avant leur publication officielle sont des données susceptibles d'intéresser des acteurs cherchant à anticiper les marchés financiers, et la connaissance de qui travaille sur quels projets au sein de l'INSEE est une information qui peut permettre de cibler des tentatives d'accès à ces données.
Cette dimension dépasse la simple fuite de données RH. Un annuaire de l'INSEE permet d'identifier les agents qui travaillent sur des projets statistiques spécifiques, les services chargés des grandes enquêtes nationales, les responsables des partenariats internationaux avec Eurostat ou d'autres institutions statistiques, et les agents ayant accès aux grandes bases de données de l'INSEE (bases fiscales, données de recensement, données de l'Assurance maladie utilisées à des fins statistiques). Ces personnes constituent des cibles potentielles pour des tentatives d'ingénierie sociale visant à obtenir accès à des données statistiques non encore publiées ou à des micro-données individuelles protégées. La veille sur les acteurs ciblant les institutions statistiques est un élément de contexte indispensable pour évaluer correctement le risque associé à cet incident.
L'INSEE a communiqué rapidement sur l'incident dans une déclaration publique publiée le 26 juin 2026, le jour même où la revendication de "Saturne" a été signalée par les sources de veille. Cette réactivité dans la communication publique est notable : elle indique que l'INSEE disposait d'une procédure de gestion d'incident qui lui a permis de confirmer et de communiquer sur la violation dans la même journée que la détection. La conformité réglementaire, notamment la notification à la CNIL dans les 72 heures suivant la prise de connaissance, a été engagée conformément aux obligations du RGPD.
Les investigations sont en cours pour déterminer précisément comment l'accès à l'annuaire a eu lieu, quelles autres données ont pu être consultées au-delà des fiches d'annuaire, et si d'autres systèmes de l'INSEE ont été touchés. La confirmation que l'enquête est toujours en cours à la date de publication de la communication officielle signifie que les conclusions définitives sur l'étendue exacte de la compromission ne sont pas encore disponibles.
L'incident de l'INSEE s'inscrit dans une série d'incidents touchant des institutions et des collectivités publiques françaises au mois de juin 2026. La RATP, Rennes Métropole et l'INSEE ont tous trois été touchés par des fuites d'annuaires professionnels au cours du même mois. Ce regroupement peut refléter plusieurs phénomènes : une intensification générale de l'activité cybercriminelle ciblant les institutions françaises, l'exploitation d'un vecteur d'attaque commun (les annuaires internes des organisations publiques), ou simplement une coïncidence statistique dans un contexte de niveau d'activité élevé.
La particularité des annuaires internes comme cible est qu'ils sont, par conception, accessibles à un grand nombre d'utilisateurs internes et contiennent des informations complètes et à jour sur l'ensemble du personnel. Ils représentent donc une cible à haute valeur informelle avec une surface d'attaque potentiellement étendue. La revue systématique des accès aux annuaires internes dans les institutions publiques, en réponse à cette vague d'incidents, est une mesure préventive que les RSSI des administrations devraient intégrer à leur programme de sécurité. La surveillance des indicateurs de compromission sur les systèmes d'annuaire interne est un signal précoce qu'une trop grande proportion d'organisations ne surveille pas encore.
L'incident de l'INSEE est un cas d'école pour la sécurisation des annuaires internes dans les administrations publiques. La première mesure est une revue des contrôles d'accès à l'application d'annuaire : qui peut s'y connecter, depuis quels réseaux, avec quelle forme d'authentification, et qui dispose de droits d'export de la base complète. Ces droits devraient être limités aux seuls cas d'usage légitimes documentés, avec une journalisation et une alerte sur les opérations d'export de volume inhabituel.
La deuxième mesure est une revue de la politique de conservation des données dans l'annuaire : combien de temps les fiches d'anciens agents restent-elles dans le système, et quel processus garantit leur suppression ou leur désactivation dans un délai raisonnable après le départ de l'agent ? Un annuaire qui accumule des années d'anciens agents sans purge régulière est un réservoir de données qui croît sans limite et dont la valeur pour un attaquant est directement proportionnelle à sa taille. La surveillance des données exposées sur les marchés clandestins est le signal d'alerte précoce qui peut informer l'administration d'une compromission de son annuaire avant même que l'incident soit confirmé en interne.
Si vous êtes agent actuel de l'INSEE ou si vous avez travaillé à l'INSEE et que vos données sont potentiellement dans l'annuaire trombi.insee.fr, vous devriez suivre les communications officielles de l'institution sur cet incident. Sur le plan pratique, soyez vigilant à tout contact professionnel non sollicité qui cite votre poste, votre service ou vos coordonnées professionnelles comme preuve de légitimité. Signalez au service de cybersécurité de l'INSEE tout e-mail ou appel suspect. Votre exposition se limite à vos données professionnelles : aucun risque sur vos coordonnées personnelles, données bancaires ou numéro de sécurité sociale n'est signalé.
Un annuaire interne complet d'une institution comme l'INSEE présente plusieurs types de valeur pour différentes catégories d'attaquants. Pour les cybercriminels, il fournit une base pour des campagnes de phishing ciblé sur les agents. Pour des acteurs aux motivations d'espionnage économique ou institutionnel, il permet d'identifier qui travaille sur quels projets statistiques et d'établir des contacts pour des tentatives d'accès aux données. Pour des acteurs cherchant à pénétrer les systèmes de l'INSEE, la connaissance précise de l'organisation facilite la construction de prétextes d'ingénierie sociale convaincants.
Sans connaître le vecteur exact de la compromission, il est prématuré de porter un jugement définitif. Des mesures qui auraient pu réduire le risque incluent : une authentification renforcée sur l'application trombi.insee.fr (double facteur, restriction aux seuls réseaux internes), des contrôles sur les exports en volume, une journalisation et alerte des accès inhabituels, et des tests réguliers de sécurité applicative sur les outils internes de ce type. L'investigation en cours devrait permettre de déterminer si de telles mesures étaient en place et comment elles ont été contournées, ou si des lacunes dans leur mise en oeuvre ont facilité la compromission.
L'INSEE précise que seules les données de l'annuaire professionnel ont été exposées, pas les données statistiques confidentielles ou les bases de données que l'INSEE constitue dans le cadre de ses missions. Les micro-données individuelles, les données fiscales utilisées à des fins statistiques et les données d'enquêtes non encore publiées ne sont pas dans le périmètre de la violation décrite. Cependant, l'investigation en cours vérifiera si d'autres systèmes que l'annuaire ont pu être touchés.
Aucun lien formel n'a été établi entre les incidents de l'INSEE, de la RATP et de Rennes Métropole. Ils se produisent dans le même mois et visent tous les trois des annuaires professionnels d'organisations publiques, ce qui peut correspondre à une technique commune ou à des acteurs différents ciblant le même type de cible. Les pseudonymes des acteurs revendiquant ces incidents sont différents (Saturne pour l'INSEE, Misere pour la RATP), ce qui ne permet pas de les attribuer au même acteur sur cette seule base.
La CNIL peut ouvrir une procédure de contrôle à la suite de la notification de la violation. Si cette procédure révèle des manquements aux obligations du RGPD en matière de sécurité des données personnelles, la CNIL peut prononcer des sanctions. Pour une administration publique comme l'INSEE, les sanctions sont encadrées par les règles spécifiques applicables aux autorités publiques, qui incluent des plafonds d'amendes différents de ceux applicables aux entités privées. L'enquête et sa conclusion restent à venir.
L'INSEE est le corps statistique de référence de l'État français, mais d'autres corps statistiques existent dans différents ministères. Des agents de ces corps peuvent être administrativement rattachés à l'INSEE tout en exerçant leurs fonctions dans d'autres administrations (ministères, opérateurs de l'État). Ces agents peuvent figurer dans l'annuaire de l'INSEE même s'ils ne travaillent pas quotidiennement dans les locaux de l'institution. Leur présence dans la base publiée expose leurs coordonnées professionnelles actuelles dans leur administration d'accueil, pas nécessairement à l'INSEE.
L'incident de l'INSEE doit être replacé dans un contexte plus large : les autorités statistiques nationales européennes sont des organisations qui traitent et produisent des données économiques de première importance, et qui à ce titre présentent un profil d'intérêt particulier pour certaines catégories d'acteurs malveillants. Des données économiques non encore publiées, des micro-données individuelles utilisées à des fins statistiques, ou simplement la connaissance de l'organisation et des projets d'une autorité statistique nationale peuvent avoir une valeur pour des acteurs aux motivations d'espionnage économique ou institutionnel.
L'INSEE est connecté à des réseaux d'échange de données statistiques avec Eurostat, l'office statistique de l'Union européenne, et avec les autorités statistiques nationales des autres États membres. Ces connexions sont nécessaires pour la production de statistiques européennes harmonisées, mais elles impliquent que la sécurité de l'INSEE est une préoccupation qui dépasse le cadre national. Une compromission des systèmes de l'INSEE qui permettrait d'accéder à des données échangées avec Eurostat ou d'autres partenaires européens aurait des implications qui vont au-delà de l'impact sur l'institution française seule.
La sécurisation des systèmes d'information des autorités statistiques nationales est un enjeu de sécurité collective pour l'Union européenne, et il existe des cadres de coopération entre les autorités nationales de cybersécurité et les autorités statistiques pour aborder ces risques. L'incident de l'INSEE, bien que limité à un annuaire interne selon les informations disponibles, est un rappel que les institutions productrices de données économiques stratégiques méritent le même niveau d'attention en matière de cybersécurité que les opérateurs d'infrastructure critique au sens traditionnel du terme. La surveillance des menaces ciblant les institutions étatiques françaises est une priorité que l'INSEE et ses partenaires institutionnels partagent.
Ce type d'incident illustre un problème structurel : les informations critiques sur une compromission active circulent d'abord dans des canaux fermés, forums clandestins et communautés privées, avant d'atteindre les équipes de sécurité par les canaux officiels. Le temps perdu dans cet écart est souvent celui où l'exploitation est la plus active et les dommages les plus importants.
Defendis surveille ces sources en continu. Votre équipe reçoit des signaux d'alerte pertinents avant que l'incident ne devienne public, avec le contexte nécessaire pour agir rapidement, sans que vos analystes aient à patrouiller eux-mêmes dans des espaces qu'ils ne devraient pas avoir à fréquenter.