Le groupe Adecco France, implanté à Villeurbanne (CA France : 4,5 milliards d’euros en 2023, 9 000 salariés), est au cœur d’un procès au tribunal judiciaire de Lyon. L’affaire concerne un ancien collaborateur en CDD, soupçonné d’avoir détourné une base de données contenant les informations personnelles de plus de 10 000 intérimaires.
Adecco, contacté par Le Journal des Entreprises, indique avoir immédiatement porté plainte et mené une enquête interne après la découverte des faits. "Aujourd’hui, Adecco demande réparation du préjudice subi, aux côtés des intérimaires victimes, et attend ce procès depuis longtemps, de manière sereine", assure sa direction. Depuis, le groupe dit avoir renforcé ses dispositifs de protection, affirmant faire de la cybersécurité une priorité.
Ce dossier s’inscrit dans le cadre strict du RGPD, qui impose aux entreprises de garantir la confidentialité et l’intégrité des données. En cas de manquements graves, les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
Une vulnérabilité souvent sous-estimée
"Cette affaire n’est pas un cas isolé, loin de là", explique Mohamed Mechri, fondateur du cabinet lyonnais Invictis, spécialisé dans la cybersécurité des PME et ETI. "Ce type de fuite, souvent orchestrée par des personnes internes ou anciennement internes, met en lumière une défaillance dans la gouvernance des accès, un pilier fondamental de la cybersécurité". Selon lui, il ne s’agit pas d’une simple erreur technique, mais d’un manquement organisationnel, potentiellement lourd de conséquences juridiques.
Le risque est réel pour toutes les entreprises, grandes ou petites. "Les PME sont les plus exposées, car elles n’ont pas toujours de politique rigoureuse sur la gestion des comptes ou des habilitations. Le mythe du on n’a rien à cacher est encore très répandu ", souligne l’expert.
"Le facteur humain est responsable de près de 80 % des incidents de cybersécurité. La vigilance des équipes est la meilleure défense."
Le facteur humain est souvent à l’origine des brèches. "Il est responsable de près de 80 % des incidents de cybersécurité, selon de nombreuses études", rappelle Mohamed Mechri. Il cite l’absence de procédure de sortie des salariés comme une faille majeure : comptes non désactivés, matériel non restitué, accès oubliés… "Cela relève de la négligence pure, et cela arrive beaucoup plus souvent qu’on ne le pense".
Même les collaborateurs en poste peuvent être à l’origine d’incidents involontaires : clics sur des liens malveillants, utilisation de mots de passe faibles ou partagés. "Il faut considérer les comportements humains avec autant de rigueur qu’un antivirus. La sécurité passe par une charte informatique, des formations régulières et une vigilance permanente".
Une maturité encore inégale dans la région
D’après Mohamed Mechri, la maturité "cyber" progresse, surtout depuis la multiplication des attaques médiatisées. Les demandes croissantes des cyber-assureurs, la directive européenne NIS2 et les sanctions de la CNIL forcent les entreprises à agir. Mais beaucoup restent encore dans une logique de réaction, et non d’anticipation.
Parmi les erreurs courantes : absence de chiffrement des données sensibles, sauvegardes mal protégées, systèmes obsolètes, ou encore inexistence de cartographie des actifs numériques. "Ces lacunes sont régulièrement pointées lors des audits post-incident. Et aujourd’hui, ne rien faire, c’est courir un risque juridique, commercial et réputationnel."
Des mesures concrètes à portée de toutes les entreprises
Malgré des moyens parfois limités, les TPE et PME peuvent mettre en place un socle minimal de protection. Cela passe par la double authentification, le cloisonnement des accès, des systèmes à jour, et un plan de sauvegarde externe. "L’outil le plus puissant reste la formation humaine. Un salarié sensibilisé vaut mieux que n’importe quelle technologie mal utilisée", insiste l’expert.
Alors que le procès lyonnais se poursuit, il agit comme piqûre de rappel pour l’écosystème régional. La cybersécurité n’est plus un luxe ou un bonus : c’est une condition de survie, quelle que soit la taille de l’entreprise.
