Cyberattaque au CNRS : 33 000 données personnelles exposées après une intrusion

Le 14 février 2026, à quelques heures de la Saint-Valentin, le Centre national de la recherche scientifique (CNRS) a dû annoncer une nouvelle particulièrement amère : une cyberattaque d’ampleur a compromis les données personnelles de milliers de ses agents. Selon le communiqué officiel du CNRS, l’intrusion a permis aux attaquants d’accéder à des informations sensibles concernant le personnel de cette institution qui constitue le pilier de la recherche publique française. Cette révélation intervient dans un contexte de multiplication des cyberattaques contre les établissements de recherche européens, après les incidents similaires touchant l’Université de Lorraine en novembre 2025 et le CERN en janvier 2026.

Une brèche découverte avec plusieurs semaines de retard

Les équipes de sécurité informatique du CNRS ont détecté l’intrusion le 3 février 2026, mais les investigations menées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) révèlent que les attaquants auraient pénétré les systèmes dès le 18 janvier. Durant ces 16 jours d’accès non détecté, les cybercriminels ont eu tout le loisir d’explorer les bases de données internes. Selon les analyses de l’ANSSI, l’attaque a exploité une vulnérabilité zero-day dans un logiciel de gestion des ressources humaines utilisé par plusieurs organismes publics français.

D’après Le Monde, qui a pu consulter le rapport préliminaire, environ 33 000 fiches individuelles ont été compromises. Ces données incluent des noms complets, adresses personnelles, numéros de téléphone, adresses électroniques professionnelles et personnelles, ainsi que des informations relatives aux contrats de travail et aux affiliations de laboratoire. Plus inquiétant encore, certaines fiches contenaient des données bancaires partielles (RIB) utilisées pour les remboursements de frais de mission.

Le CNRS a immédiatement saisi la Commission nationale de l’informatique et des libertés (CNIL) conformément au Règlement général sur la protection des données (RGPD). La CNIL a ouvert une enquête pour évaluer les mesures de sécurité en place et déterminer si l’organisme respectait ses obligations en matière de protection des données personnelles.

Un impact qui dépasse les frontières du laboratoire

Au-delà des chercheurs statutaires, l’attaque touche un écosystème scientifique complexe. Les 33 000 personnes concernées incluent non seulement les agents titulaires du CNRS, mais également des doctorants, des post-doctorants étrangers, des ingénieurs contractuels et du personnel administratif. Selon le ministère de l’Enseignement supérieur et de la Recherche, cette fuite pourrait compromettre des collaborations internationales sensibles, notamment avec des partenaires américains et japonais particulièrement vigilants sur la sécurité des données.

« Nous avons immédiatement mis en place une cellule de crise et informé individuellement chaque personne concernée par courriel sécurisé », a déclaré Antoine Petit, président-directeur général du CNRS, dans un communiqué publié le 14 février.

Les conséquences opérationnelles se font déjà sentir. Plusieurs laboratoires ont dû suspendre temporairement l’accès à leurs systèmes informatiques le temps de procéder à un audit de sécurité complet. D’après Libération, au moins 47 unités de recherche ont signalé des perturbations dans leurs activités quotidiennes, retardant des expériences en cours et des publications scientifiques attendues. Le laboratoire de physique des particules de Lyon a notamment dû reporter une série de mesures cruciales prévues sur l’accélérateur du CERN.

Une série noire pour la recherche publique française

Cette cyberattaque n’est pas un cas isolé. Depuis septembre 2025, les établissements de recherche et d’enseignement supérieur français subissent une vague d’intrusions informatiques sans précédent. Selon Cybermalveillance.gouv.fr, le dispositif national d’assistance aux victimes, 23 universités et organismes de recherche ont signalé des tentatives d’intrusion au cours des 5 derniers mois, dont 11 ont abouti à des compromissions avérées.

L’Université de Lorraine avait déjà fait les frais d’une attaque par ransomware en novembre 2025, paralysant ses services pendant 12 jours et exposant les données de 68 000 étudiants et personnels. En janvier 2026, le CERN à Genève, bien que situé en Suisse, a également subi une intrusion ciblant spécifiquement les chercheurs français participant aux expériences du Grand collisionneur de hadrons (LHC). Ces incidents révèlent une stratégie coordonnée visant le secteur académique européen.

« Les organismes de recherche constituent des cibles privilégiées car ils manipulent des données scientifiques de haute valeur tout en disposant souvent de moyens de cybersécurité inférieurs à ceux des entreprises privées », explique Guillaume Poupard, ancien directeur général de l’ANSSI, interrogé par France 24.

Les experts en cybersécurité pointent du doigt un sous-investissement chronique dans la protection des systèmes d’information de la recherche publique. Alors que le CNRS consacre environ 0,8% de son budget annuel de 3,3 milliards d’euros à la cybersécurité, les entreprises privées du CAC40 y allouent en moyenne 3,2% de leurs dépenses informatiques, selon Les Échos.

Des mesures d’urgence et des interrogations sur l’avenir

Face à cette situation critique, le CNRS a annoncé un plan d’action immédiat comprenant le déploiement d’une authentification multi-facteurs pour tous les accès aux systèmes sensibles, la migration accélérée vers des solutions cloud sécurisées certifiées SecNumCloud, et le recrutement de 15 experts en cybersécurité supplémentaires d’ici juin 2026. L’organisme prévoit également d’investir 12,7 millions d’euros sur les 18 prochains mois pour renforcer son infrastructure de sécurité.

Selon La Tribune, le ministère de l’Enseignement supérieur envisage de créer un centre national de cybersécurité dédié à la recherche publique, doté d’un budget initial de 45 millions d’euros. Cette structure mutualiserait les moyens de protection pour l’ensemble des établissements académiques français et coordonnerait la réponse aux incidents de sécurité.

Les personnes dont les données ont été compromises bénéficient d’un accompagnement personnalisé incluant une surveillance gratuite de leur identité numérique pendant 24 mois, assurée par un prestataire spécialisé. Le CNRS recommande également à tous les agents concernés de modifier immédiatement leurs mots de passe et de surveiller attentivement leurs comptes bancaires et leurs relevés de carte de crédit.

L’enquête judiciaire, confiée à la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI), se poursuit pour identifier les auteurs de cette intrusion. Les premiers éléments d’analyse suggèrent une attaque sophistiquée potentiellement liée à un groupe de cybercriminels spécialisé dans l’espionnage industriel et scientifique. Aucune demande de rançon n’a été formulée, ce qui laisse craindre une exploitation future des données volées à des fins d’usurpation d’identité ou d’espionnage scientifique.

Cette cyberattaque soulève une question fondamentale pour l’avenir de la recherche française : comment protéger efficacement le patrimoine scientifique national tout en préservant l’ouverture et la collaboration internationale qui fondent l’excellence de la recherche académique ? La réponse à cette équation complexe déterminera la capacité de la France à maintenir sa position dans la compétition scientifique mondiale face à des menaces numériques toujours plus sophistiquées.