Incident de cybersécurité au CNRS

Le CNRS a identifié des téléchargements non autorisés de fichiers contenant des données de personnes rémunérées par le CNRS avant le 1er janvier 2007.

Dès connaissance de l’incident, le serveur a été isolé et arrêté. Après analyse, l’incident ne s’est pas propagé au reste des infrastructures. La Commission nationale informatique et liberté (CNIL) et l’Agence nationale de la sécurité des systèmes d'information (ANSSI) ont été informées de l'exfiltration des données. Le CNRS a déposé plainte auprès de la section cybercriminalité du Parquet de Paris.

Les fichiers téléchargés contenaient des données personnelles (nom, prénom, date de naissance, adresse, numéro de sécurité sociale, RIB), et professionnelles (statut, type de contrat, structure d’affectation). Les personnels recrutés après le 1/1/2007 ne sont pas concernés.