En bref

  • Conduent, prestataire gouvernemental américain, a subi une brèche SafePay ransomware entre octobre 2024 et janvier 2025, exposant 25 millions de citoyens
  • Données compromises : numéros de sécurité sociale, données médicales, informations de prestations gouvernementales (Medicaid, SNAP, allocations chômage)
  • Dwell time de 3 mois, 8,5 To exfiltrés, notifications aux victimes débutées 9 mois après la découverte de l'intrusion

Les faits

Conduent (NYSE: CNDT), prestataire externe gérant les systèmes de prestations sociales (Medicaid, SNAP/aide alimentaire, allocations chômage, pensions alimentaires) pour plus de 30 États américains, a été compromis par le groupe SafePay ransomware dans une fenêtre allant du 21 octobre 2024 au 13 janvier 2025 — soit un dwell time d'environ 3 mois. L'ampleur de la brèche, initialement estimée à 10 millions de personnes, a été réévaluée à la hausse : au moins 25 millions de citoyens américains sont concernés, dont 15,4 millions au Texas et environ 10,5 millions en Oregon. Le volume exfiltré s'élève à 8,5 téraoctets. Les données compromises incluent les numéros de sécurité sociale (SSN), noms, dates de naissance, adresses, informations d'assurance maladie, dossiers médicaux et données d'inscription aux programmes de prestations gouvernementales. La brèche s'inscrit dans la tendance de ciblage des agrégateurs de données sensibles, comparable à la fuite d'un pétaoctet de données TELUS Digital par ShinyHunters qui illustre l'appétit des groupes cybercriminels pour les sous-traitants à haut volume de données.

  • Contexte et chronologie des événements
  • Impact sur l'écosystème cybersécurité
  • Leçons apprises et recommandations
  • Perspectives et évolutions attendues

Les notifications aux victimes n'ont débuté qu'en octobre 2025 — soit 9 mois après la découverte de l'intrusion en janvier 2025 — et ne seront complètes qu'au 15 avril 2026. Ce délai a déclenché une investigation du Procureur général du Texas Ken Paxton en février 2026, qui a qualifié l'incident de "probablement la plus grande brèche de l'histoire des États-Unis". SafePay est actif depuis 2024, ayant revendiqué plus de 200 victimes, spécialisé dans le ciblage des prestataires de services mutualisés (MSP, BPO gouvernementaux) pour maximiser l'impact en cascade. Le groupe utilise des techniques de living-off-the-land (LOTL) pour minimiser sa détection et privilégie l'exfiltration massive avant chiffrement. La stratégie de double extorsion est désormais la norme, comme l'analyse le rapport Mandiant M-Trends 2026 sur l'évolution des tactiques d'intrusion. La réglementation NIS2 transposée en droit français impose précisément ce type d'obligations renforcées, comme le détaille l'analyse ANSSI ReCyF sur NIS2 pour les entreprises françaises.

Impact et exposition

L'impact dépasse largement le périmètre technique : les données compromises concernent des populations vulnérables (bénéficiaires de l'aide sociale, soins médicaux, allocations chômage), particulièrement exposées aux risques d'usurpation d'identité et de fraude fiscale. Le délai de notification de 9 mois est particulièrement problématique : pendant cette période, les victimes ne pouvaient prendre aucune mesure de protection. Des violations potentielles du HIPAA (données de santé), des lois de notification étatiques et du CCPA sont examinées par le Procureur général du Texas. En France, un délai similaire constituerait une violation grave du RGPD — l'obligation de notification s'impose sous 72h à la CNIL et sous 1 mois aux personnes concernées. Pour les RSSI d'organisations similaires (BPO, sous-traitants gouvernementaux), cet incident illustre le risque de concentration : gérer des données pour 30+ entités gouvernementales fait de Conduent une cible premium pour les groupes ransomware orientés exfiltration.

Recommandations

  • Organismes similaires (BPO, MSP gouvernementaux) : audit des accès tiers, micro-segmentation réseau, surveillance des exfiltrations volumineuses (DLP) avec alertes sur les transferts supérieurs à 100 Go
  • Détection LOTL : déployer des règles de détection comportementale ciblant l'abus d'outils légitimes (PSExec, WMI, PowerShell, BITS) — SafePay n'utilise pas de malware personnalisé facilement détectable par signature
  • Citoyens américains concernés : gel de crédit auprès d'Equifax, Experian et TransUnion, surveillance des déclarations fiscales frauduleuses via l'IRS Identity Protection PIN
  • Clauses contractuelles : exiger de tout sous-traitant manipulant des données sensibles une obligation de notification sous 72h, avec SLA de réponse aux incidents inclus dans les contrats
  • Threat hunting : IOCs SafePay disponibles via Sekoia TDR et Recorded Future pour enrichir les règles de détection

Pourquoi les victimes de Conduent ont-elles attendu 9 mois avant d'être notifiées ?

La loi fédérale américaine n'impose pas de délai précis de notification pour les brèches de données gouvernementales hors santé (le HIPAA impose 60 jours pour les entités couvertes). Conduent a vraisemblablement utilisé ce vide réglementaire combiné à des investigations forensiques prolongées et, possiblement, des discussions avec SafePay pour retarder la divulgation publique. C'est précisément ce type de délai qui motive la réforme législative en cours au Congrès américain et renforce l'argument en faveur d'une obligation de notification à 72h alignée sur le RGPD européen. Pour un RSSI français : si votre sous-traitant subit une brèche affectant des données personnelles, le RGPD vous impose de notifier la CNIL dans les 72h après en avoir été informé, quelle que soit la cause ou la négociation en cours.

Article suivant recommandé

PolyShell : 57 % des boutiques Magento vulnérables attaquées →

La faille PolyShell permet l'exécution de code sur Magento sans authentification. Plus de 56 % des boutiques vulnérables

Points clés à retenir

  • Contexte : Conduent : brèche SafePay expose 25 millions d'Américains — un sujet critique pour la cybersécurité des organisations
  • Impact : Les risques identifiés peuvent compromettre la confidentialité, l'intégrité et la disponibilité des systèmes
  • Action recommandée : Évaluer votre exposition et mettre en place les contrôles de sécurité appropriés

Sources et références

Comment renforcer la cybersécurité de votre organisation ?

Le renforcement passe par une évaluation des risques, la mise en place de contrôles techniques (pare-feu, EDR, SIEM), la formation des collaborateurs, des audits réguliers et l'adoption de frameworks reconnus comme ISO 27001 ou NIST CSF.

Pourquoi la cybersécurité est-elle un enjeu stratégique en 2026 ?

Avec l'augmentation de 45% des cyberattaques en 2025, la cybersécurité est devenue un enjeu de survie pour les organisations. Les réglementations (NIS2, DORA, AI Act) imposent des obligations strictes et les conséquences financières d'une compromission peuvent atteindre plusieurs millions d'euros.

Quels sont les premiers pas pour sécuriser une infrastructure ?

Les premiers pas incluent l'inventaire des actifs, l'identification des vulnérabilités critiques, le déploiement du MFA, la segmentation réseau, la mise en place de sauvegardes testées et l'élaboration d'un plan de réponse à incident.

Conclusion

Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.

Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.