En bref

  • Conduent, prestataire gouvernemental américain, a subi une brèche SafePay ransomware entre octobre 2024 et janvier 2025, exposant 25 millions de citoyens
  • Données compromises : numéros de sécurité sociale, données médicales, informations de prestations gouvernementales (Medicaid, SNAP, allocations chômage)
  • Dwell time de 3 mois, 8,5 To exfiltrés, notifications aux victimes débutées 9 mois après la découverte de l'intrusion

Les faits

Conduent (NYSE: CNDT), prestataire externe gérant les systèmes de prestations sociales (Medicaid, SNAP/aide alimentaire, allocations chômage, pensions alimentaires) pour plus de 30 États américains, a été compromis par le groupe SafePay ransomware dans une fenêtre allant du 21 octobre 2024 au 13 janvier 2025 — soit un dwell time d'environ 3 mois. L'ampleur de la brèche, initialement estimée à 10 millions de personnes, a été réévaluée à la hausse : au moins 25 millions de citoyens américains sont concernés, dont 15,4 millions au Texas et environ 10,5 millions en Oregon. Le volume exfiltré s'élève à 8,5 téraoctets. Les données compromises incluent les numéros de sécurité sociale (SSN), noms, dates de naissance, adresses, informations d'assurance maladie, dossiers médicaux et données d'inscription aux programmes de prestations gouvernementales. La brèche s'inscrit dans la tendance de ciblage des agrégateurs de données sensibles, comparable à la fuite d'un pétaoctet de données TELUS Digital par ShinyHunters qui illustre l'appétit des groupes cybercriminels pour les sous-traitants à haut volume de données.

Les notifications aux victimes n'ont débuté qu'en octobre 2025 — soit 9 mois après la découverte de l'intrusion en janvier 2025 — et ne seront complètes qu'au 15 avril 2026. Ce délai a déclenché une investigation du Procureur général du Texas Ken Paxton en février 2026, qui a qualifié l'incident de "probablement la plus grande brèche de l'histoire des États-Unis". SafePay est actif depuis 2024, ayant revendiqué plus de 200 victimes, spécialisé dans le ciblage des prestataires de services mutualisés (MSP, BPO gouvernementaux) pour maximiser l'impact en cascade. Le groupe utilise des techniques de living-off-the-land (LOTL) pour minimiser sa détection et privilégie l'exfiltration massive avant chiffrement. La stratégie de double extorsion est désormais la norme, comme l'analyse le rapport Mandiant M-Trends 2026 sur l'évolution des tactiques d'intrusion. La réglementation NIS2 transposée en droit français impose précisément ce type d'obligations renforcées, comme le détaille l'analyse ANSSI ReCyF sur NIS2 pour les entreprises françaises.

Impact et exposition

L'impact dépasse largement le périmètre technique : les données compromises concernent des populations vulnérables (bénéficiaires de l'aide sociale, soins médicaux, allocations chômage), particulièrement exposées aux risques d'usurpation d'identité et de fraude fiscale. Le délai de notification de 9 mois est particulièrement problématique : pendant cette période, les victimes ne pouvaient prendre aucune mesure de protection. Des violations potentielles du HIPAA (données de santé), des lois de notification étatiques et du CCPA sont examinées par le Procureur général du Texas. En France, un délai similaire constituerait une violation grave du RGPD — l'obligation de notification s'impose sous 72h à la CNIL et sous 1 mois aux personnes concernées. Pour les RSSI d'organisations similaires (BPO, sous-traitants gouvernementaux), cet incident illustre le risque de concentration : gérer des données pour 30+ entités gouvernementales fait de Conduent une cible premium pour les groupes ransomware orientés exfiltration.

Recommandations

  • Organismes similaires (BPO, MSP gouvernementaux) : audit des accès tiers, micro-segmentation réseau, surveillance des exfiltrations volumineuses (DLP) avec alertes sur les transferts supérieurs à 100 Go
  • Détection LOTL : déployer des règles de détection comportementale ciblant l'abus d'outils légitimes (PSExec, WMI, PowerShell, BITS) — SafePay n'utilise pas de malware personnalisé facilement détectable par signature
  • Citoyens américains concernés : gel de crédit auprès d'Equifax, Experian et TransUnion, surveillance des déclarations fiscales frauduleuses via l'IRS Identity Protection PIN
  • Clauses contractuelles : exiger de tout sous-traitant manipulant des données sensibles une obligation de notification sous 72h, avec SLA de réponse aux incidents inclus dans les contrats
  • Threat hunting : IOCs SafePay disponibles via Sekoia TDR et Recorded Future pour enrichir les règles de détection

Pourquoi les victimes de Conduent ont-elles attendu 9 mois avant d'être notifiées ?

La loi fédérale américaine n'impose pas de délai précis de notification pour les brèches de données gouvernementales hors santé (le HIPAA impose 60 jours pour les entités couvertes). Conduent a vraisemblablement utilisé ce vide réglementaire combiné à des investigations forensiques prolongées et, possiblement, des discussions avec SafePay pour retarder la divulgation publique. C'est précisément ce type de délai qui motive la réforme législative en cours au Congrès américain et renforce l'argument en faveur d'une obligation de notification à 72h alignée sur le RGPD européen. Pour un RSSI français : si votre sous-traitant subit une brèche affectant des données personnelles, le RGPD vous impose de notifier la CNIL dans les 72h après en avoir été informé, quelle que soit la cause ou la négociation en cours.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit