En bref

  • Conduent porte le bilan de sa violation de données à 62,2 millions d'individus — dont noms, numéros de sécurité sociale américains, données médicales et assurance santé
  • La compromission remonte à octobre 2024-janvier 2025 ; le chiffre de 62,2 M représente plus du double de l'estimation initiale de 25 millions (février 2025)
  • Action requise pour les organisations clientes de Conduent : notifier les personnes concernées, activer la surveillance de crédit, vérifier l'étendue contractuelle de l'exposition

Les faits

Conduent Business Services, prestataire informatique américain au service de grandes entreprises, agences gouvernementales et programmes de santé publique, a confirmé début juillet 2026 que la violation de données subie entre octobre 2024 et janvier 2025 touche désormais 62,2 millions d'individus. Ce chiffre, issu des dernières déclarations réglementaires déposées par la société, représente plus du double de l'estimation de 25 millions publiée en février 2025, elle-même déjà deux fois supérieure au premier bilan de 10 millions communiqué lors de la révélation initiale de l'incident.

La compromission a débuté le 21 octobre 2024. Un tiers non autorisé a maintenu un accès persistant aux systèmes de Conduent jusqu'au 13 janvier 2025, soit une durée de près de trois mois. Pendant cette période, l'attaquant a exfiltré des données personnelles sensibles incluant des noms complets, des numéros de sécurité sociale (SSN) américains, des données médicales et des informations d'assurance santé. La nature exacte de l'accès initial n'a pas été divulguée publiquement par Conduent à ce jour.

Conduent occupe une position critique dans l'écosystème de traitement de données américain. La société gère et traite pour le compte de ses clients — grandes entreprises, administrations d'État et agences fédérales américaines — des flux massifs d'informations personnelles et sensibles liées aux programmes de santé, d'assurance-chômage, d'aide sociale et de gestion des ressources humaines. Sa base de données agrégée couvre plus de 100 millions d'Américains selon ses propres déclarations commerciales. L'incident illustre le risque systémique que représentent les prestataires de traitement de données mutualisé : une compromission unique chez l'intermédiaire expose les clients de dizaines d'organisations simultanément.

Avec 62,2 millions de victimes, la violation de données Conduent se rapproche dangereusement du record historique détenu par l'assureur santé Anthem Inc., dont le système avait été compromis en 2015 par des attaquants étatiques chinois (groupe APT10), exposant les données de près de 79 millions de personnes. La violation Conduent pourrait devenir la deuxième plus grande fuite de données de santé de l'histoire américaine. Les données de santé volées sont particulièrement précieuses sur les marchés noirs : elles permettent des fraudes à l'assurance, des usurpations d'identité médicale et peuvent être utilisées pour du chantage ou de l'extorsion ciblée.

La révision successive à la hausse du nombre de victimes — de 10 millions à 25 millions, puis à 62,2 millions en l'espace de quelques mois — soulève de sérieuses questions sur la capacité de Conduent à évaluer rapidement et précisément l'étendue réelle d'une intrusion dans ses propres systèmes. Cette incapacité à quantifier l'impact dès les premiers jours post-incident est un indicateur de maturité SOC préoccupant pour un prestataire traitant des données aussi sensibles à cette échelle.

Du côté des victimes indirectes, les organisations ayant externalisé des traitements de données à Conduent ont dû émettre leurs propres notifications de violation aux personnes concernées, conformément aux obligations HIPAA (Health Insurance Portability and Accountability Act) et aux lois étatiques américaines sur la protection des données. Les délais de notification requis par HIPAA — 60 jours à compter de la découverte pour les violations affectant plus de 500 personnes — ont été largement dépassés compte tenu de la durée d'investigation, ce qui a exposé plusieurs clients de Conduent à des risques de sanction réglementaire.

En Europe, l'incident rappelle les risques liés à la sous-traitance transfrontalière de données. Bien que Conduent opère principalement aux États-Unis, des groupes européens ayant recours à des prestataires américains pour des traitements similaires doivent s'interroger sur les garanties contractuelles, les délais de notification et les clauses de responsabilité en cas d'incident chez le sous-traitant. Le RGPD impose des obligations strictes aux responsables de traitement, y compris concernant la sécurité des sous-traitants (article 28). Un incident Conduent-like chez un prestataire européen entraînerait une notification obligatoire à l'autorité de contrôle sous 72 heures.

Conduent a indiqué proposer aux victimes un service de surveillance de crédit et de protection contre le vol d'identité. Les détails de ces offres — durée, périmètre, prestataire choisi — varient selon les programmes et les États concernés. Les organismes gouvernementaux clients, notamment ceux gérant des programmes d'aide sociale, ont la responsabilité d'informer directement les bénéficiaires de leurs programmes affectés par la violation.

Impact et exposition

62,2 millions d'Américains, principalement des bénéficiaires de programmes gouvernementaux de santé et d'aide sociale, ont leurs données personnelles sensibles (SSN, données médicales) en circulation potentielle sur des marchés illicites. Les organisations clientes de Conduent aux États-Unis sont exposées à des recours collectifs, des sanctions HIPAA et des demandes de dommages et intérêts. L'incident illustre le risque de concentration chez les prestataires de traitement de données mutualisés.

Recommandations

  • Pour les organisations clientes de Conduent : vérifier l'étendue contractuelle de l'exposition, activer les procédures de notification HIPAA/RGPD et proposer une surveillance de crédit aux personnes affectées
  • Pour les DSI : auditer les contrats de sous-traitance sur les clauses de sécurité, de notification d'incident et de responsabilité — notamment l'article 28 RGPD pour les entités européennes
  • Mettre en place une cartographie précise des flux de données externalisés, y compris les sous-traitants de rang 2 et 3, pour évaluer rapidement l'exposition en cas d'incident chez un prestataire
  • Pour les individus concernés : surveiller les relevés bancaires, les notifications d'assurance et les demandes de crédit inhabituelles ; envisager un gel de crédit auprès des agences de notation américaines (Equifax, Experian, TransUnion)

Comment savoir si je fais partie des 62,2 millions de victimes de la violation Conduent ?

Conduent ne contacte pas directement les individus — ce sont les organisations clientes (agences gouvernementales, assureurs, employeurs) qui ont l'obligation d'informer les personnes concernées. Si vous êtes ou avez été bénéficiaire d'un programme gouvernemental américain de santé ou d'aide sociale entre 2020 et 2025, vous pourriez être concerné. Vérifiez votre boîte mail pour des notifications de violation provenant de votre État, de votre assureur santé ou de votre employeur. En l'absence de notification, vous pouvez également vérifier vos rapports de crédit gratuitement sur AnnualCreditReport.com (États-Unis).

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit