Incident de cybersécurité au CNRS

Le CNRS a identifié des téléchargements non autorisés de fichiers contenant des données de personnes rémunérées par le CNRS avant le 1^er janvier 2007. 

Dès connaissance de l’incident, le serveur a été isolé et arrêté. Après analyse, l’incident ne s’est pas propagé au reste des infrastructures. La Commission nationale informatique et liberté (CNIL) et l’Agence nationale de la sécurité des systèmes d'information (ANSSI) ont été informées de l'exfiltration des données. Le CNRS a déposé plainte auprès de la section cybercriminalité du Parquet de Paris.

Les fichiers téléchargés contenaient des données personnelles (nom, prénom, date de naissance, adresse, numéro de sécurité sociale, RIB), et professionnelles (statut, type de contrat, structure d’affectation). Les personnels recrutés après le 1/1/2007 ne sont pas concernés. 

Le CNRS déplore cette situation et restera attentif à tout événement qui pourrait avoir une incidence pour les personnes concernées. Il invite celles et ceux qui le souhaitent à contacter la déléguée à la protection des données du CNRS (dpd.demandes@cnrs.fr ).

Une FAQ (Foire aux questions) est accessible sur le site du CNRS : https://www.cnrs.fr/fr/faq-exfiltration-de-donnees-personnelles-suite-incident-de-securite-sur-un-serveur-du-cnrs 

La CNIL met à disposition des guides pour sécuriser vos données quotidiennement : https://www.cnil.fr/fr/mon-quotidien/ma-securite-numerique . 

Pour plus d’information sur les risques possibles, il convient de consulter le site du gouvernement Cyber malveillance : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/que-faire-en-cas-de-fuite-de-donnees-personnelles.