Accueil » Accès frauduleux à la DPAE : l’Urssaf appelle salariés et employeurs à la vigilance

Accès frauduleux à la DPAE : l’Urssaf appelle salariés et employeurs à la vigilance

Cecile Vicini
Écran d'ordinateur affichant des lignes de code en couleurs vives avec un éclairage ambiant.
© Jakub Zerdzicki / Pexels / Illustration

Dans un contexte où les attaques numériques se multiplient, l’organisme insiste sur l’importance d’une vigilance collective, à la fois du côté des institutions, des partenaires et des entreprises utilisatrices des services.

L’alerte est sérieuse, même si elle ne remet pas en cause le fonctionnement des services. Le 19 janvier 2026, l’Urssaf a annoncé via un communiqué de presse avoir constaté un accès non autorisé à l’API de la déclaration préalable à l’embauche (DPAE), un service central pour les employeurs.

L’incident, qui concerne potentiellement les données de 12 millions de salariés embauchés depuis moins de trois ans, intervient dans un contexte de multiplication des attaques visant les acteurs publics.

Un accès frauduleux via un partenaire habilité

Selon les éléments communiqués, l’accès frauduleux n’a pas été réalisé par une intrusion directe dans les systèmes de l’Urssaf.

Les premières investigations montrent que les faits sont liés à l’utilisation d’identifiants compromis appartenant à un partenaire institutionnel habilité à consulter certaines informations issues de la DPAE.

Ces identifiants avaient été dérobés lors d’un acte de cybermalveillance antérieur ciblant ce partenaire.

L’API concernée permettait uniquement la consultation de données limitées, dans un cadre normalement strictement encadré. Les systèmes d’information de l’Urssaf n’ont, de leur côté, pas été compromis.

Quelles données sont concernées ?

Les informations susceptibles d’avoir été consultées ou extraites sont précisément identifiées :

  • nom et du prénom du salarié,
  • sa date de naissance,
  • numéro Siret de l’employeur,
  • date d’embauche.

Ces données concernent environ 12 millions de salariés ayant fait l’objet d’une déclaration préalable à l’embauche au cours des trois dernières années.

En revanche, l’Urssaf souligne qu’aucune donnée jugée particulièrement sensible n’est touchée : aucun numéro de Sécurité sociale, aucune adresse postale ou électronique, aucun numéro de téléphone ni aucune coordonnée bancaire ne figurent parmi les informations concernées.

Un risque indirect : la recrudescence des tentatives de fraude

Si la nature des données limite les risques immédiats d’usurpation complète d’identité, l’Urssaf appelle néanmoins à une vigilance renforcée.

Les informations issues de la DPAE peuvent servir de base à des tentatives d’hameçonnage ciblées, en particulier auprès des salariés récemment embauchés ou des entreprises identifiables par leur Siret.

Dans ce contexte, l’organisme rappelle qu’il ne demande jamais la communication de mots de passe ou de coordonnées bancaires par téléphone ou par courriel.

Toute sollicitation de ce type doit être considérée avec la plus grande prudence.

Des mesures immédiates et une continuité de service assurée

Dès l’identification de l’incident, l’Urssaf indique avoir suspendu les accès du compte partenaire compromis et mobilisé ses équipes afin d’en analyser les causes. Les travaux engagés portent également sur le renforcement des dispositifs de protection des systèmes d’information et sur la sécurisation des habilitations accordées aux partenaires institutionnels.

Pour les employeurs, le message se veut rassurant : le service de déclaration préalable à l’embauche reste pleinement opérationnel et peut continuer à être utilisé dans les conditions habituelles.

Aucune interruption ni modification des procédures n’est annoncée à ce stade.

Des obligations légales respectées

Conformément au cadre réglementaire en vigueur, l’Urssaf a procédé aux notifications requises auprès de la Commission nationale de l’informatique et des libertés et de l’Agence nationale de la sécurité des systèmes d’information.

Une plainte pénale a également été déposée auprès du procureur de la République.

Ces démarches s’inscrivent dans la gestion classique des incidents impliquant des données personnelles, même lorsque ceux-ci résultent d’une faille externe à l’organisme directement concerné.

Un signal pour les entreprises et leurs partenaires

Au-delà du cas de la DPAE, cet épisode rappelle aux entreprises l’attention à porter à la gestion des accès, notamment lorsqu’elles interviennent comme partenaires de services publics ou parapublics.

La sécurisation des identifiants, la rotation des mots de passe et la surveillance des usages constituent des points de vigilance permanents, y compris pour des structures de taille intermédiaire ou des prestataires spécialisés.

Pour les dirigeants de TPE et PME, l’affaire souligne aussi la nécessité d’informer les salariés sur les risques de fraudes et sur les bons réflexes à adopter en cas de sollicitation suspecte, en particulier lorsque celle-ci semble s’appuyer sur des informations professionnelles exactes.

Information et accompagnement

L’Urssaf a mis en ligne une foire aux questions dédiée afin de répondre aux interrogations des salariés et des employeurs concernés.

Un numéro de contact spécifique est également ouvert pour toute demande d’information complémentaire : 0 809 541 962 (service gratuit +
prix d’appel).

En savoir plus

Agenda Appel à candidature Apprentissage Arrêt maladie Artisanat Ce qui change Cour de cassation Cybersécurité Dares Entreprises du BTP Formation France Travail Gestion d'entreprise IA Influence politique Législation Micro entreprise Métiers d'art Numérique Organisations professionnelles Salaires Santé Santé mentale Tendances économiques Urssaf

En savoir plus sur TPE ACTU

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture

Recevez directement nos articles dans votre boîte mail !

Poursuivre la lecture