Fuite de données FICOBA : ce que vous devez savoir pour vous protéger

fuite de donnnes FICOBA
  • Mis en ligne le

Jantien Rault

CEO Fondateur POWER ITI

LinkedIn

Agenda

Le 18 février 2026, le ministère de l’Économie a confirmé ce que beaucoup redoutaient : un acteur malveillant a accédé illégitimement au FICOBA, le Fichier National des Comptes Bancaires, en usurpant les identifiants d’un fonctionnaire habilité. Résultat : les données de 1,2 million de comptes bancaires ont pu être consultées et extraites depuis fin janvier 2026. Chez POWERiti, nous avons analysé les sources officielles pour vous aider à comprendre l’enjeu et, surtout, à agir concrètement.

Ce n’est pas une rumeur ni une hypothèse : la DGFiP a publié un communiqué officiel le 18 février 2026, signalé l’incident à la CNIL et déposé plainte. L’ANSSI est mobilisée. Les personnes concernées seront notifiées par la DGFiP et leur banque dans les prochains jours. Voici ce que vous devez savoir.

C’est quoi le FICOBA ?

Si ce nom ne vous dit rien, il est pourtant au cœur de votre vie financière. Le FICOBA (Fichier National des Comptes Bancaires et Assimilés) est un registre centralisé géré par la Direction Générale des Finances Publiques (DGFiP). Il recense l’intégralité des comptes ouverts dans les établissements bancaires français (comptes courants, livrets d’épargne comme le Livret A ou le LDDS, comptes-titres, coffres-forts), avec les opérations d’ouverture, de modification et de clôture associées.

Contrairement à une idée reçue, le FICOBA ne contient pas vos soldes ni le détail de vos transactions. Ce n’est pas un relevé de compte. Pensez-y comme à un annuaire financier : il indique vous avez un compte, pas combien vous avez d’argent dessus. Mais cet annuaire est précisément ce dont un fraudeur a besoin pour lancer des attaques ciblées.

Le FICOBA est accessible uniquement à des profils institutionnels spécifiques : agents de la DGFiP, services judiciaires, Pôle emploi, certains ministères dans le cadre d’échanges inter-administrations. Le grand public n’y a pas accès directement.

Les faits : ce qui s’est réellement passé

1,2 M
de comptes bancaires potentiellement compromis

La chronologie est établie par les sources officielles. Depuis fin janvier 2026, un acteur malveillant a consulté et extrait des données du FICOBA. La DGFiP a détecté l’intrusion, déclenché des mesures immédiates de restriction d’accès, puis rendu l’incident public le 18 février 2026 via un communiqué de presse officiel cosigné par le ministère de l’Économie.

L’incident a immédiatement fait l’objet d’un dépôt de plainte et d’un signalement à la CNIL, comme l’impose le RGPD pour toute violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et libertés des personnes. La notification à la CNIL est une obligation légale à respecter dans un délai de 72 heures après la prise de connaissance de l’incident.

Sources officielles : Communiqué DGFiP du 18 février 2026 sur presse.economie.gouv.fr et alerte publiée sur impots.gouv.fr. La Fédération bancaire française (FBF) a également publié un communiqué appelant à la vigilance.

Quelles données ont été exposées ?

Selon le communiqué officiel de la DGFiP, les données compromises pour chaque compte concerné sont les suivantes :

🏦
Coordonnées bancaires

Le numéro de compte complet (RIB et IBAN), permettant d’identifier votre établissement et votre compte précis.

🪪
Identité du titulaire

Nom, prénom, date et lieu de naissance, tels que déclarés à l’ouverture du compte.

📬
Adresse postale

L’adresse du titulaire enregistrée dans le fichier.

🔢
Identifiant fiscal (parfois)

Le numéro fiscal de l’usager, présent dans certains cas selon le communiqué officiel.

Ce qui n’a PAS été exposé : vos soldes de comptes, vos transactions, vos mots de passe bancaires, vos numéros de carte bancaire. La DGFiP confirme que le FICOBA ne permet pas de consulter les soldes ni d’effectuer des opérations. La FBF confirme que ces données seules ne suffisent pas à réaliser un virement ou un paiement par carte.

Comment l’attaque a-t-elle eu lieu ?

C’est un point crucial : le FICOBA lui-même n’a pas été techniquement “piraté” au sens d’une faille logicielle exploitée. L’attaquant a choisi une méthode bien plus redoutable et bien documentée en sécurité des systèmes d’information.

  1. Vol des identifiants d’un fonctionnaire habilité
    L’acteur malveillant s’est procuré les credentials d’un agent de l’État disposant d’un accès légitime au FICOBA dans le cadre des échanges inter-ministériels. La méthode exacte n’a pas été confirmée officiellement.
  2. Connexion en toute discrétion
    En empruntant une identité disposant de droits légitimes, l’attaquant a pu se connecter sans déclencher d’alerte immédiate sur les systèmes de contrôle d’accès. C’est la technique dite de “credential compromise”.
  3. Consultation et extraction de données
    Pendant plusieurs semaines (depuis fin janvier 2026), l’acteur a consulté et extrait des données portant sur environ 1,2 million de comptes avant que la DGFiP détecte l’anomalie.
  4. Détection et coupure d’accès
    Dès la détection, la DGFiP a mis en œuvre des mesures immédiates de restriction d’accès pour stopper l’attaque et prévenir toute nouvelle consultation illégitime.
Ce n’est pas une faille technique dans les serveurs de la DGFiP, c’est une faille organisationnelle et humaine. L’attaquant n’a pas cassé la porte, il a utilisé la clé d’un agent pour entrer.
Benoît Grünemwald, expert en cybersécurité chez ESET France

Les partages d’accès entre ministères et organismes publics constituent justement l’un des vecteurs d’attaque les plus actifs identifiés par l’ANSSI : difficiles à surveiller, ils offrent une surface d’exposition bien plus large que les accès internes classiques. Ce n’est pas un cas isolé : la CNIL a récemment sanctionné France Travail d’une amende de 5 millions d’euros pour une fuite reposant sur un mécanisme identique. Ces incidents à répétition ont d’ailleurs motivé un renforcement législatif en cybersécurité avec la loi LOPMI, qui impose désormais des obligations de signalement aux entreprises victimes d’attaques.

Quels sont les risques réels ?

Avec un IBAN, une identité complète et une adresse, les fraudeurs ne peuvent pas vider votre compte directement. Mais ils disposent d’un kit quasi parfait pour préparer des attaques redoutables. Voici les scénarios les plus probables, identifiés par les autorités et les experts :

📞
L’arnaque au faux conseiller

Un fraudeur appelle en connaissant votre banque et vos données personnelles. Il gagne votre confiance pour vous faire valider une fausse opération “de sécurité” sur votre appli bancaire.

🧾
Le mandat frauduleux (SEPA)

Avec votre IBAN, des fraudeurs peuvent tenter de créer un mandat de prélèvement SEPA. La FBF alerte spécifiquement sur ce risque dans son communiqué.

🎣
Le phishing ciblé

Vous recevez un mail ou SMS imitant parfaitement votre banque ou la DGFiP, citant vos données personnelles pour vous inciter à cliquer sur un lien malveillant.

🏢
La fraude au RIB (entreprises)

Les fraudeurs se font passer pour un fournisseur et demandent de changer un RIB pour celui d’un compte frauduleux. Les données FICOBA valident leur crédibilité.

🪪
L’usurpation d’identité

Combinées à d’autres fuites passées, ces données alimentent des profils complets pour des usurpations d’identité bancaires ou administratives.

Ce type d’attaque s’inscrit dans une tendance lourde que nous suivons depuis plusieurs années. Les cybermenaces liées aux usurpations d’identité s’intensifient notamment parce que l’IA permet désormais de générer des messages de phishing hyper-personnalisés qui passent inaperçus même auprès d’utilisateurs vigilants.

Votre entreprise est-elle exposée ?

Un incident comme la fuite FICOBA peut déclencher des attaques ciblées contre vos équipes comptables et RH. Faites évaluer votre exposition gratuitement.

Diagnostic gratuit de 30 minutes
Vos obligations en tant que dirigeant

Se protéger : les bons réflexes pour les particuliers

La première chose à retenir est une règle absolue que la DGFiP elle-même rappelle sur impots.gouv.fr :

⚠️ Règle d’or : Votre banque ne vous demandera jamais un code reçu par SMS, une validation sur votre application mobile ou vos identifiants par téléphone pour “annuler une fraude”. L’administration fiscale ne vous demande jamais vos identifiants ou votre numéro de carte bancaire par message. Si cela arrive, raccrochez immédiatement et appelez votre conseiller sur le numéro officiel de votre agence.
  • Ne validez aucune opération demandée par téléphone, même par quelqu’un qui connaît votre banque et votre date de naissance.
  • Activez les notifications en temps réel sur votre application bancaire pour détecter toute opération suspecte.
  • Activez la double authentification (MFA) sur vos comptes bancaires en ligne, vos emails et vos réseaux sociaux.
  • En cas de doute sur un message reçu au nom de la DGFiP ou de votre banque, contactez directement le service via la messagerie sécurisée de votre espace en ligne ou par téléphone au numéro officiel.
  • Conservez toutes les preuves en cas de suspicion : messages, captures d’écran, adresses de sites web.
  • Vérifiez régulièrement vos relevés bancaires pour détecter tout prélèvement non autorisé.
  • En cas d’utilisation frauduleuse avérée de vos données, signalez-vous sur cybermalveillance.gouv.fr.

Se protéger : les actions prioritaires pour les entreprises

Pour les PME, les risques sont décuplés. Un service comptable qui modifie un RIB sur simple demande par mail, une équipe RH qui ne vérifie pas un virement entrant : ce sont des failles humaines que les fraudeurs vont tenter d’exploiter dans les prochaines semaines. Voici le plan d’action à déployer sans délai.

1. Sensibiliser immédiatement vos équipes comptables et RH

Partagez cet article et organisez un point rapide avec vos équipes exposées. Le message doit être clair : aucune modification de coordonnées bancaires fournisseur ou salarié ne doit être effectuée sur simple demande par mail ou par téléphone, même si l’interlocuteur cite des informations exactes. Tout changement de RIB doit être confirmé par un appel au contact habituel sur un numéro connu.

✅ Deux mesures à mettre en place sans attendre : D’abord, imposez une double validation pour tout changement de coordonnées bancaires fournisseur ou salarié : confirmation écrite + appel téléphonique sur un numéro déjà connu (pas celui fourni dans le mail de demande). Ensuite, activez la liste blanche de bénéficiaires sur vos comptes professionnels : la plupart des banques pro permettent de restreindre les virements sortants aux seuls IBAN pré-approuvés, ce qui bloque mécaniquement tout détournement même si un collaborateur se fait piéger. Ces deux mesures combinées constituent la parade la plus efficace contre la fraude au RIB et l’arnaque au président.

2. Renforcer la sécurité des accès sensibles

La fuite FICOBA illustre parfaitement ce qui arrive quand des accès à des données très sensibles ne sont protégés que par un simple couple identifiant/mot de passe. La gestion des identités et des accès est devenue un enjeu stratégique pour toute PME, au même titre que les alternatives modernes aux mots de passe qui réduisent radicalement ce type de risque.

  • Imposer la double authentification (MFA) sur tous les accès critiques : comptabilité, CRM, email professionnel, outils cloud.
  • Privilégier des applications d’authentification (Microsoft Authenticator, Google Authenticator) plutôt que les SMS, plus vulnérables aux interceptions.
  • Pour les accès aux données les plus sensibles, envisager des clés de sécurité physiques (type YubiKey), parmi les 5 dispositifs indispensables à la sécurité informatique en entreprise.
  • Revoir les droits d’accès : chaque collaborateur ne doit avoir accès qu’aux données strictement nécessaires à sa mission (principe du moindre privilège).

3. Auditer votre posture de sécurité

Si votre entreprise n’a jamais fait évaluer sa sécurité informatique, cet incident est le signal à ne pas ignorer. Un audit de sécurité informatique permet d’identifier les accès trop permissifs, les mots de passe réutilisés, les systèmes non mis à jour, autant de portes d’entrée potentielles que les fraudeurs savent repérer et exploiter.

“Suite à la fuite FICOBA, nous avons immédiatement contacté POWERiti pour revoir nos procédures de validation des paiements fournisseurs. En moins d’une semaine, nous avions une politique d’accès renforcée et un protocole de vérification des RIB. Ce genre d’incident rappelle qu’on ne peut pas improviser la sécurité.”
🏢
DAF d’une PME industrielle
Client POWERiti, région Sud-Est

Les premières heures suivant un incident cyber sont souvent décisives ; certaines réactions intuitives peuvent même aggraver la situation. Les PME qui ont franchi le pas de l’externalisation de leur support informatique bénéficient d’une surveillance continue et d’une réponse à incident intégrée dès le départ.

La réponse de l’État : ce qui a été fait

Il est important de noter que la réaction des autorités a été rapide et coordonnée, ce qui témoigne d’un niveau de maturité réel dans la gestion de crise. Voici ce qui a été mis en place dès la détection de l’incident :

🔒 Restriction immédiate des accès

Dès la détection, les accès inter-ministériels concernés ont été coupés pour stopper l’extraction de données et prévenir tout nouvel accès illégitime.

⚖️ Dépôt de plainte

Un dépôt de plainte a été effectué, ouvrant la voie à une enquête judiciaire pour identifier les auteurs de l’intrusion.

🛡️ Mobilisation de l’ANSSI

L’Agence Nationale de la Sécurité des Systèmes d’Information est intervenue aux côtés de la DGFiP pour analyser l’incident et renforcer la sécurité du système d’information.

📋 Notification à la CNIL

La Commission Nationale de l’Informatique et des Libertés a été notifiée dans le cadre des obligations RGPD. Les personnes concernées seront informées individuellement par la DGFiP et leur banque.

Attention aux fausses notifications : Les personnes touchées seront contactées par la DGFiP et leur banque dans les prochains jours. Des fraudeurs pourraient tenter d’usurper ces communications officielles pour piéger des victimes déjà fragilisées. Vérifiez toujours l’authenticité d’un message en vous connectant directement à votre espace impots.gouv.fr ou en appelant votre agence bancaire sur le numéro officiel.

Questions fréquentes

Comment savoir si je suis parmi les 1,2 million de personnes concernées ?

La DGFiP s’engage à notifier individuellement toutes les personnes concernées par courriel. Leurs établissements bancaires les contacteront également. Si vous n’avez pas reçu de notification dans les prochains jours, vous pouvez consulter votre espace sécurisé sur impots.gouv.fr. Ne répondez à aucun message non sollicité affirmant que vous êtes concerné.

Quelqu’un peut-il vider mon compte avec mon IBAN ?

Non, pas directement. Votre IBAN seul ne suffit pas à réaliser un virement depuis votre compte. En revanche, il peut être utilisé pour créer frauduleusement un mandat de prélèvement SEPA : c’est le risque principal identifié par la Fédération Bancaire Française. Surveillez vos relevés et signalez immédiatement tout prélèvement non autorisé à votre banque.

Mon entreprise doit-elle prendre des mesures spécifiques ?

Oui, en particulier si vous avez des équipes comptables ou RH qui gèrent des coordonnées bancaires. Sensibilisez-les immédiatement : aucun changement de RIB fournisseur ou salarié ne doit être effectué sans une double vérification. En tant que dirigeant, vous pouvez engager votre responsabilité personnelle en cas de manquement à la sécurité de votre entreprise.

La DGFiP peut-elle me demander de confirmer mes données par email ?

Non. La DGFiP le rappelle explicitement : l’administration fiscale ne vous demande jamais vos identifiants, votre mot de passe ou votre numéro de carte bancaire par email ou SMS. Si vous recevez un tel message, ne cliquez sur aucun lien et signalez-le sur cybermalveillance.gouv.fr.

Puis-je changer mon IBAN pour me protéger ?

Techniquement possible, mais le changement de compte bancaire est une démarche lourde (mise à jour des prélèvements, virements récurrents, employeur…) et non nécessaire dans la majorité des cas. Activer le MFA sur vos accès bancaires et surveiller vos relevés sont des mesures bien plus efficaces et immédiates. Consultez votre banque si vous souhaitez évaluer l’opportunité d’un changement.

Protégez votre entreprise, maintenant

La fuite FICOBA rappelle que les cyberattaques touchent désormais toutes les tailles d’organisations, y compris les PME et leurs fournisseurs. POWERiti vous accompagne pour sécuriser vos accès, sensibiliser vos équipes et auditer votre posture de sécurité.

Diagnostic gratuit avec un expert certifié
Nos autres ressources cyber
Sources & références

Sources officielles :
• Communiqué de presse DGFiP, 18 février 2026 : presse.economie.gouv.fr
• Alerte impots.gouv.fr : impots.gouv.fr
• Communiqué Fédération Bancaire Française (FBF) : fbf.fr
• Ressources en cas de violation de données : cybermalveillance.gouv.fr
• Analyse technique : IT Social, Clubic, DPO Partage, 18-19 février 2026

📚 À lire aussi :
Phishing et hameçonnage : le guide complet pour les PME · Les cybermenaces PME en 2025 · Gestion des données en entreprise · Cybersécurité et confiance numérique
Partagez cet article 👇
Facebook X-twitter Pinterest Telegram Linkedin
À propos de l'auteur
Jantien Rault
Depuis plus de 20 ans, j’accompagne les PME dans leur transformation digitale et la gestion de leur IT.

🔹 L’IT, c’est mon métier : infogérance, cybersécurité et optimisation des systèmes.
🔹 Les PME, c’est mon terrain de jeu : des solutions sur-mesure, adaptées aux vrais besoins des entreprises.
🔹 Ma vision : simplifier l’informatique pour qu’elle devienne un atout, pas un casse-tête.

Articles en lien

Voir tous les articles
Microsoft Edge en 2026 : 7 raisons d’abandonner Google Chrome définitivement
Audit réseau et cybersécurité pour PME
Audit Réseau Informatique : Guide Complet 2026 pour PME
Moltbot et les IA agentiques : ce que les dirigeants de PME doivent savoir