Communication AEFE – Cyberattaque et mesures de précaution à mettre en place

7 décembre 2023

Une application financière éditée par la société ELAP et utilisée par l’AEFE a fait face à un incident de sécurité le 5 novembre dernier. L’AEFE informe ses publics et leur transmet des mesures de précaution à mettre en place afin de se prémunir contre toute action malveillante. 

Le 6 novembre 2023, à la suite de l’indisponibilité de l’application constatée par l’AEFE, la société ELAP a mené des investigations ayant abouti à la découverte d’une intrusion informatique sur l’un des serveurs dédiés exclusivement à l’AEFE, un rançongiciel y ayant été déployé. ELAP a immédiatement pris toutes les mesures nécessaires pour sécuriser la plateforme. Les garanties de sécurité ayant été ensuite fournies par ELAP, l’AEFE a autorisé ELAP à rétablir le service le 15 novembre.
La société ELAP reste mobilisée pour accompagner l’AEFE et transmettre toutes les informations disponibles aux autorités.
 
Les investigations menées par ELAP et ses prestataires ont confirmé le 19 novembre que l’AEFE est le seul client touché et qu’une fuite de données a été effective. L’AEFE a signalé l’incident auprès de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a porté plainte auprès des autorités judiciaires et a effectué une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL).  
 
Les investigations se poursuivent afin de recenser très précisément toutes les données à caractère personnel ayant pu être exfiltrées, certaines pouvant être des copies de pièces d’identité ou des coordonnées bancaires.
 
À ce jour, il apparaît que des données d’établissements, de personnels détachés auprès de l’AEFE et des services centraux sont concernées par cette fuite. Peuvent être concernés également les données de certains personnels recrutés localement ainsi que celles de fournisseurs. Dans toutes ses communications aux établissements, l’Agence a recommandé des mesures de précaution afin de se prémunir de toute action malveillante. Ces mesures seront relayées aux personnels des établissements.
 
Les analyses visant à déterminer précisément les personnes concernées prennent du temps. La communication de ce jour est un moyen pour l’AEFE d’informer largement les publics et communautés, et leur permettre de mettre en œuvre les recommandations données, en complément des communications adressées localement. L’Agence remercie tous les interlocuteurs de leur compréhension et leur mobilisation afin de réduire autant que possible les conséquences de cette attaque.  
 
L’AEFE rappelle que le fait d’extraire, détenir, reproduire, transmettre frauduleusement les données d’un traitement automatisé constitue un délit pénal.