FICOBA : 1,2 million de comptes bancaires exposés. Et maintenant, on fait quoi ?
Le FICOBA, c'est le Fichier national des Comptes Bancaires et Assimilés. Créé en 1971, il recense l'ensemble des comptes ouverts dans les établissements bancaires français : comptes courants, comptes d'épargne, comptes-titres, coffres-forts loués.

Les médias se sont emparés de l'affaire avec l'habituel mélange de chiffres alarmants et de formules qui font peur. "Piratage historique", "risque immédiat", "vos données entre les mains de hackers"...
Respirons.
Parce que ce qui s'est passé avec le FICOBA mérite mieux qu'une réaction épidermique. Ça mérite une lecture lucide. Et surtout, ça mérite qu'on pose les bonnes questions; pas celles qui font du clic, mais celles qui font réfléchir.
Ce qui s'est passé, clairement
Le FICOBA, c'est le Fichier national des Comptes Bancaires et Assimilés. Créé en 1971, il recense l'ensemble des comptes ouverts dans les établissements bancaires français : comptes courants, comptes d'épargne, comptes-titres, coffres-forts loués. Soit 300 millions de comptes au total, gérés par la Direction générale des Finances publiques (DGFiP).
Fin janvier 2026, un acteur malveillant a accédé à ce fichier. Il a pu consulter et vraisemblablement extraire les données de 1,2 million de comptes.
Ce qu'il a obtenu : le nom, le prénom, l'adresse, la date et le lieu de naissance du titulaire, l'IBAN, et dans certains cas, l'identifiant fiscal.
Ce qu'il n'a pas obtenu : le solde des comptes. Les transactions. La possibilité de faire un virement.
La Fédération bancaire française l'a confirmé : ces données seules ne suffisent pas à réaliser un paiement par carte ou un virement. Ce n'est pas rien à préciser, tant la panique ambiante laissait entendre que les comptes allaient être vidés d'une minute à l'autre.
Mais alors, c'est pas grave ?
Si. C'est grave. Très grave.
Juste pas exactement pour les raisons qu'on vous sert en boucle.
Commençons par ce qui est vrai : avec votre IBAN, il est techniquement possible d'initier des prélèvements frauduleux. Ce n'est pas aussi simple que de vider un compte, mais ça existe, et ça arrive. La Fédération bancaire française le reconnaît elle-même : un IBAN volé peut, dans certaines conditions, servir à créer un mandat frauduleux. Surveillez vos relevés. Signalez immédiatement tout prélèvement que vous ne reconnaissez pas.
Mais la menace la plus profonde, celle dont on parle beaucoup moins, c'est une autre.
Ce qui vient d'être compromis, ce n'est pas seulement votre numéro de compte. C'est votre identité numérique dans sa globalité : nom, prénom, adresse postale, date et lieu de naissance, IBAN, et parfois numéro fiscal. Un paquet complet. Cohérent. Vérifiable.
Et ça, pour un escroc, c'est de l'or.
Avec ces informations, il peut vous contacter en se faisant passer pour votre banque, pour la DGFiP, pour votre assureur. Il ne devinera pas vos données: il les connaît déjà. Son message sera précis, fluide, crédible. Vous aurez l'impression qu'il vous connaît. Parce que d'une certaine façon, c'est le cas.
C'est ça, le vrai danger du FICOBA. Pas le virement fantôme. La manipulation chirurgicale.
Le vrai scandale : comment c'est arrivé
Là, on touche au fond du problème.
L'attaquant n'a pas "hacké" le FICOBA au sens où on l'imagine, une opération sophistiquée, des écrans qui clignotent, une équipe de génie dans une salle obscure. Il a usurpé les identifiants d'un fonctionnaire qui disposait d'un accès légitime au fichier dans le cadre de ses missions.
Autrement dit : quelqu'un a volé un identifiant et un mot de passe. Et avec ça, il s'est connecté. Tranquillement. Sans éveiller le moindre soupçon. Sur plusieurs semaines. Sans surveillance, sans alerte, sans que personne ne lève la main.
Nada.
Posons la question clairement, parce qu'elle mérite d'être posée: comment un accès à 300 millions de comptes bancaires français n'était ni protégé par une authentification renforcée, ni surveillé par des systèmes de détection d'anomalies ? C'est le B.A.-BA de toute stratégie de sécurité numérique digne de ce nom dans n'importe quelle entreprise un tant soit peu sérieuse.
Alors l'organisation censée gérer la sécurité de nos coordonnées bancaires, elle attendait quoi exactement ?
Et pendant qu'on y est : c'est cette même administration à qui on demande de faire davantage confiance pour centraliser nos données d'identité en ligne, pour numériser encore plus nos interactions avec l'État.
Ce n'est pas une faille technique sophistiquée. C'est une défaillance humaine et organisationnelle, profonde, évitable. Exactement le genre de défaillance dont je parle dans Être en cybersécurité : le maillon faible n'est presque jamais la technologie. C'est l'humain. Et c'est le processus.

Une série noire qui n'est pas un hasard
Cette affaire n'est pas isolée.
Depuis le début de l'année, la France a subi le piratage de Service-Public.fr, une attaque contre l'OFII, une fuite chez un prestataire de Relais Colis, la compromission de la Fédération française de golf, et avant cela, les données de France Travail, de la CNAM, de mutuelles, d'hôpitaux...
Un rapport de Surfshark plaçait déjà la France en tête des pays européens pour le nombre de comptes compromis par habitant en 2025.
Ce n'est pas une malchance. C'est le symptôme d'un problème structurel : la cybersécurité publique française est sous-dotée, fragmentée, et traitée comme une contrainte administrative plutôt que comme une priorité stratégique.
NIS2 attend toujours sa transposition complète. Les habilitations sont mal gérées. La formation des agents publics aux bonnes pratiques reste anecdotique. Et la culture du risque numérique celle qui permettrait d'éviter qu'un fonctionnaire se fasse phisher ses identifiants n'est pas encore ancrée dans les organisations.
Ce que vous pouvez faire : devenez poliment paranoïaque
Première chose : respirez.
Vos données sont probablement déjà quelque part en ligne. Pas seulement à cause du FICOBA à cause de France Travail, de la CNAM, de votre mutuelle, de cette appli que vous avez installée en 2019 et oubliée depuis. Les fuites s'accumulent depuis des années. Elles se croisent, se complètent, s'agrègent.
Accepter ça, c'est libérateur. Ça ne veut pas dire baisser les bras. Ça veut dire arrêter d'attendre le problème et commencer à l'anticiper.
Mon principe, celui que je répète à toutes les entreprises avec lesquels je travaille, dans toutes les formations que je donne et également dans mon livre Être en cybersécurité : soyez poliment paranoïaque.
Pas anxieux. Pas paralysé. Juste méthodiquement méfiant, avec le sourire.
Concrètement, ça donne quoi ?
Tout contact que vous n'avez pas initié est suspect par défaut. Un appel de votre banque ? Raccrochez et rappelez vous-même via le numéro au dos de votre carte. Un SMS de la DGFiP avec un lien ? Corbeille. Un email qui connaît votre IBAN et vous demande de "confirmer" quoi que ce soit ? Corbeille, et vite. La règle est simple : si c'est urgent et que ça vient de l'extérieur, c'est probablement faux. Les vraies urgences, vous les gérez en rappelant vous-même l'organisme.
Vérifiez vos comptes FICOBA. Depuis 2025, c'est disponible sur impots.gouv.fr, rubrique "Autres services". Vous pouvez voir en quelques clics quels comptes vous y sont rattachés. Faites-le, pas parce que c'est urgent; mais parce que reprendre le contrôle commence par savoir où vous en êtes.
Activez le double facteur d'authentification partout. Emails en premier. Services bancaires et fiscaux ensuite. Tout le reste après. C'est la mesure la plus simple et la plus efficace qui existe pour réduire votre exposition. Elle ne coûte rien. Elle protège beaucoup.
Surveillez vos prélèvements. Un IBAN volé peut dans certaines conditions servir à créer un mandat frauduleux. Jetez un œil à vos relevés régulièrement; pas avec angoisse, avec attention. Tout prélèvement que vous ne reconnaissez pas se conteste immédiatement auprès de votre banque.
Le FICOBA n'est pas la fin du monde. Mais c'est un rappel de plus que dans le monde numérique d'aujourd'hui, la meilleure protection, c'est vous. Pas votre banque. Pas l'État. Vous.
Poliment paranoïaque. Toujours.

Ce que cette affaire révèle, au fond
Je le répète souvent, et cet incident le confirme une fois de plus : la cybersécurité n'est pas un problème d'outils. C'est un problème de culture et un problème d'humain.
J'insiste sur cette idée : la lucidité vaut mieux que la peur. Comprendre comment les attaques fonctionnent réellement, pas la version hollywoodienne, mais la réalité du terrain, c'est ce qui permet de prendre les bonnes décisions, à titre individuel comme à titre collectif.
Ce piratage du FICOBA n'est pas une catastrophe irrémédiable pour les personnes concernées. Mais c'est un signal fort que l'on ne peut pas continuer à ignorer : tant que la sécurité numérique restera un sujet de spécialistes et pas un sujet de gouvernance, ces incidents se répèteront.
Et la prochaine fois, les données exposées seront peut-être plus sensibles encore.
Vous voulez aller plus loin et comprendre vraiment comment fonctionne la cybersécurité, pas pour devenir expert, mais pour ne plus subir ? Mon livre Être en cybersécurité est fait pour ça.
Questions fréquentes
Mes comptes peuvent-ils être vidés avec les données fuitées du FICOBA ?
Non. La Fédération bancaire française confirme que ces données seules ne suffisent pas à réaliser un paiement par carte ou un virement. Un IBAN volé peut toutefois, dans certaines conditions, servir à créer un mandat de prélèvement frauduleux, d'où l'importance de surveiller ses relevés.
Quelles données ont été exposées ?
Le nom, le prénom, l'adresse, la date et le lieu de naissance du titulaire, l'IBAN, et dans certains cas l'identifiant fiscal. Ni le solde, ni les transactions n'ont été obtenus.
Comment l'attaque s'est-elle produite ?
L'attaquant a usurpé les identifiants d'un fonctionnaire disposant d'un accès légitime au fichier, puis s'est connecté pendant plusieurs semaines sans authentification renforcée, sans surveillance ni alerte. C'est une défaillance humaine et organisationnelle, pas une faille technique sophistiquée.
Que puis-je faire concrètement pour me protéger ?
Considérer tout contact non initié comme suspect et rappeler soi-même l'organisme, vérifier ses comptes rattachés sur impots.gouv.fr (rubrique « Autres services »), activer le double facteur d'authentification partout en commençant par la messagerie, et surveiller régulièrement ses prélèvements.
Sources & méthodologie
- Fédération bancaire française
- Direction générale des Finances publiques (DGFiP), impots.gouv.fr
- Rapport Surfshark sur les comptes compromis en Europe (2025)

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
