Pourquoi ce sujet est-il pertinent pour mon organisation ?

Le comportement humain est la cause la plus fréquente d'incidents de sécurité. Connaître ce sujet et y être sensibilisé réduit directement et de manière mesurable le risque.

Comment 2LRN4 aide-t-il sur ce sujet ?

2LRN4 relie ce sujet à un module de formation orienté risque, à une simulation de phishing optionnelle et à des rapports, pour démontrer la conformité aux autorités et au conseil.

Une formation de sensibilisation suffit-elle ou faut-il plus ?

La formation est un pilier nécessaire mais pas un bouclier complet. Combinez-la à des mesures techniques (MFA, filtrage e-mail), à des procédures et à une culture de signalement pour une protection optimale.

La fuite Odido : comment un appel au service client a touché 6 millions de personnes

Le week-end des 7 et 8 février 2026, des criminels ont accédé aux systèmes clients de l'opérateur télécom néerlandais Odido. Pas via un exploit technique sophistiqué, mais via des personnes : d'abord un e-mail de phishing pour dérober les mots de passe des agents du service client, puis un appel téléphonique où l'attaquant se faisait passer pour le service informatique interne afin de contourner l'étape de connexion supplémentaire. Résultat : les données d'environ 6,2 millions de clients (et anciens clients) d'Odido et de sa marque Ben — presque toute la base clients.

Ce qui s'est réellement passé

Odido a rendu la fuite publique le 12 février 2026 ; l'attaque elle-même a eu lieu le week-end précédent. Deux semaines plus tard, le 26 février, les criminels ont publié une partie du butin sur le dark web : les données d'environ 430 000 personnes et 290 000 clients professionnels.

Le jeu de données volé était exceptionnellement sensible. Il comprenait non seulement noms, adresses, numéros de téléphone, e-mails et numéros de client, mais aussi des IBAN, des dates de naissance et des données d'identité. Certaines notes internes mentionnaient même du harcèlement, des violences domestiques et des adresses protégées — des informations qui peuvent être vitales entre de mauvaises mains.

L'accès est passé par l'environnement Salesforce utilisé par le service client. Pas une intrusion serveur, mais l'abus d'un compte valide qu'un agent avait lui-même livré. Sous le RGPD, une telle violation doit être notifiée à l'autorité de contrôle (en France, la CNIL) dans les 72 heures.

Pourquoi le service client était la cible

Les attaquants empruntent la voie de moindre résistance. Le service client — souvent partiellement externalisé vers des centres d'appels — accède chaque jour à de grands volumes de données clients, mais reçoit généralement moins d'attention sécurité que les administrateurs IT ou les développeurs.

De plus, aider est le métier d'un agent. Une personne entraînée toute la journée à être aimable et orientée solution coopère naturellement quand 'un collègue de l'IT' appelle pour une demande urgente. Cette serviabilité n'est pas une faiblesse individuelle, mais un trait que les attaquants exploitent délibérément.

Pour les responsables de la sensibilisation, c'est la leçon centrale : les personnes qui détiennent le plus de données clients ne sont pas toujours celles qui reçoivent le plus de formation. C'est un écart à combler délibérément.

La MFA n'est pas la ligne d'arrivée : comment l'étape a été contournée

Beaucoup d'organisations pensent que l'authentification multifacteur (MFA) les protège des mots de passe volés. C'est vrai — jusqu'à ce qu'un humain valide lui-même l'étape MFA. Chez Odido, l'attaquant a appelé l'agent après l'e-mail de phishing, s'est fait passer pour le support IT et a demandé de confirmer la tentative de connexion. L'agent a approuvé la notification et a ainsi livré le second facteur.

On parle de fatigue MFA, ou de contournement de la MFA par ingénierie sociale. La technologie fonctionne très bien ; c'est le processus humain autour qui est le point faible. Il suffit d'un seul employé qui appuie sur 'approuver' au mauvais moment.

La MFA reste une mesure de base indispensable, mais seulement si tu la configures bien. Tu veux savoir quelles formes de MFA résistent à ce type d'attaque et comment les déployer ? Lis comment implémenter la MFA dans ton organisation.

La règle que chacun doit connaître : le vrai service IT ne demande jamais votre mot de passe, votre code MFA, ni de valider une connexion que vous n'avez pas lancée. Une telle demande ? Raccrocher et rappeler sur un numéro interne connu.

Les vrais dégâts viennent ensuite : le phishing de suivi avec de vraies données

Une fuite n'est pas un point final mais un point de départ. Avec de vraies données, les criminels envoient des messages crédibles : ils connaissent votre nom, votre numéro de client, votre opérateur et parfois votre IBAN. Un e-mail ou SMS de phishing qui commence par des informations exactes est bien plus convaincant que le classique 'Cher client'.

Sans surprise, la fuite Odido a été suivie d'une vague de phishing de suivi : faux messages 'd'Odido' au sujet d'un paiement échoué ou d'une facture impayée, avec un lien vers une page de connexion clonée. C'est le véritable modèle économique derrière le vol.

Cela signifie qu'une fuite chez une organisation augmente le risque pour toutes. Vos employés et clients peuvent être ciblés plus précisément, même si vos propres systèmes n'ont jamais été touchés.

Comment l'intégrer dans ton programme de sensibilisation

L'incident Odido est un cas idéal et parlant pour ton programme — justement parce qu'il n'y a eu aucun 'hack génial', juste un appel et un e-mail.

Ne te concentre pas seulement sur le personnel de bureau. Les plus grands gains se trouvent dans les équipes qui manipulent beaucoup de données clients et de contacts entrants : service client, support, accueil et centres d'appels externes.

Public + rythme : donne au service client et au support un module dédié avec procédure de rappel, et répète-le chaque trimestre — la rotation y est forte.
Une règle que tout le monde connaît : 'l'IT ne demande jamais votre mot de passe ni de validation MFA ; en cas de doute, raccrocher et rappeler le numéro interne.'
Entraîne le scénario en réel : une simulation de vishing (faux appel IT) apprend plus qu'un module e-learning seul.
Mesure le signalement, pas seulement le clic : combien d'agents signalent l'appel suspect en 30 minutes ?
Besoin d'approfondir ? Découvre comment traiter cela de façon structurelle via la formation en sensibilisation à la sécurité.

Questions fréquentes

La fuite Odido était-elle un piratage technique ?

Non. Les attaquants n'ont exploité aucune faille logicielle mais de l'ingénierie sociale : un e-mail de phishing pour voler des mots de passe, suivi d'un appel où ils se faisaient passer pour l'IT interne afin de faire valider l'étape MFA. C'était une attaque humaine, pas technique.

Comment la MFA peut-elle être contournée si elle est activée ?

La MFA protège contre un mot de passe volé, mais pas contre un employé qui valide lui-même la tentative de connexion. En appelant et en se faisant passer pour l'IT, l'attaquant a obtenu la confirmation du second facteur. La technologie a fonctionné ; le processus humain était le point faible.

Que doivent faire les employés face à un 'appel IT' suspect ?

Raccrocher et rappeler sur un numéro interne connu. Le vrai service IT ne demande jamais votre mot de passe, votre code MFA, ni de valider une connexion que vous n'avez pas lancée.

Pourquoi une fuite chez une autre entreprise est-elle aussi mon problème ?

Parce qu'avec de vraies données, les criminels peuvent envoyer un phishing de suivi bien plus crédible. Vos employés et clients peuvent être ciblés avec des noms, numéros de client ou coordonnées bancaires exacts, même si vos systèmes n'ont jamais été touchés.