Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Gestion des risques liés à la cybersécurité > Violation de données du gouvernement mexicain : risques liés aux systèmes obsolètes et aux fournisseurs

Violation de données du gouvernement mexicain : risques liés aux systèmes obsolètes et aux fournisseurs

par Patrick Spencer updated février 11, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 11 minutes

Un groupe de hacktivistes a récemment revendiqué l’une des plus importantes fuites de données gouvernementales de l’histoire de l’Amérique latine. Leur cible : le gouvernement mexicain, avec un butin allégué de 2,3 téraoctets de données provenant d’au moins 25 institutions gouvernementales différentes, exposant potentiellement les informations personnelles de 36 millions de citoyens mexicains.

Résumé des points clés

  1. Les fournisseurs tiers représentent la plus grande surface d’attaque du secteur public. Près de 30 % des agences gouvernementales échangent des données avec plus de 5 000 tiers, et les violations impliquant des fournisseurs ont augmenté de 68 % ces dernières années. Sans suivi, contrôles d’accès et révocation automatisée des identifiants, les agences restent aveugles quant à la circulation de leurs données les plus sensibles.
  2. Les systèmes « obsolètes » qui conservent des données ne sont pas des systèmes décommissionnés. Le gouvernement mexicain a qualifié les plateformes compromises d’obsolètes, mais les hacktivistes ont tout de même exfiltré 2,3 téraoctets de données. Si des systèmes anciens contiennent encore des données citoyennes accessibles avec des identifiants actifs, ils ne sont pas retirés : ils constituent des failles non surveillées prêtes à être exploitées.
  3. Les groupes hacktivistes instrumentalisent autant la perception que la donnée. Le Chronus Group a rassemblé des données issues de plusieurs sources et les a présentées comme une seule fuite massive pour maximiser la couverture médiatique et la peur du public. Les organisations doivent disposer de fonctions d’investigation et de journaux d’audit immuables pour distinguer l’exposition réelle des allégations exagérées avant que la confiance du public ne s’effrite.
  4. L’Amérique latine fait face à une multiplication et une diversification des cybermenaces. Les organisations de la région subissent désormais en moyenne 3 065 cyberattaques par semaine, menées par des acteurs étatiques, des cybercriminels et des hacktivistes agissant simultanément. Les professionnels de la cybersécurité locaux affichent le taux de confiance le plus bas au monde dans les capacités de défense de leurs gouvernements.
  5. La gouvernance unifiée des données est la seule solution pour combler les failles systémiques. La fragmentation de la supervision entre systèmes fédéraux, étatiques et tiers crée les conditions mêmes qui ont rendu cette fuite possible. Visibilité centralisée, architecture zero trust, révocation automatisée des accès et journalisation persistante sont les prérequis pour protéger les données sensibles dans des écosystèmes gouvernementaux complexes.

L’incident, révélé le 30 janvier 2026, soulève des questions urgentes sur la gestion des données sensibles des citoyens par les gouvernements, notamment lorsque ces données résident sur des infrastructures vieillissantes gérées par des prestataires externes. Si l’agence mexicaine de cybersécurité a rapidement tenté de minimiser la gravité de la fuite, les problèmes sous-jacents révélés sont loin d’être mineurs.

Voici ce qui s’est passé, pourquoi c’est important et ce que les organisations manipulant des données sensibles à grande échelle peuvent en retenir.

Ce que le Chronus Group affirme avoir dérobé

Un collectif de hackers se faisant appeler Chronus Group a publié des documents et jeux de données qu’il dit avoir exfiltrés des systèmes gouvernementaux mexicains. Selon les rapports, les informations divulguées incluent noms, numéros de téléphone, adresses physiques, dates de naissance et preuves d’inscription au système public de santé universel mexicain, l’Instituto Mexicano del Seguro Social (IMSS) Bienestar.

Si cela se confirme, ces données représenteraient environ 28 % de la population totale du Mexique, ce qui en ferait l’un des incidents d’exposition de données gouvernementales les plus importants de la région ces dernières années.

Le Chronus Group est un collectif relativement informel qui opère sous différentes formes depuis au moins 2021, selon la société de renseignement sur les menaces Recorded Future. Le groupe brouille la frontière entre hacktivisme et cybercriminalité. Certains membres ont vendu des bases de données et des identifiants sur des forums du dark web, tandis que le groupe se présente aussi comme une organisation de « cyberterrorisme », semblant chercher à maximiser la peur et l’attention médiatique.

Comme l’a expliqué un analyste de Recorded Future, la stratégie du groupe est délibérée : « Ils veulent diffuser le FUD — peur, incertitude et doute — car ils savent que cela attire l’attention des médias. » L’analyste souligne que la puissance d’amplification des réseaux sociaux propage leur message bien au-delà de leurs véritables capacités.

La réponse du Mexique : gestion de crise ou évaluation légitime ?

L’Agencia de Transformación Digital y Telecomunicaciones (ATDT), principale agence mexicaine en cybersécurité et technologies numériques, a réagi aux allégations avec un démenti mesuré mais ferme. L’agence a affirmé qu’aucune publication de données sensibles n’avait été identifiée et que les informations semblaient être une compilation issue de précédentes fuites, plutôt qu’une nouvelle compromission de l’infrastructure gouvernementale centrale.

Le point le plus révélateur reste sans doute la description des systèmes concernés par l’agence. L’ATDT les a qualifiés de « systèmes obsolètes développés et administrés par des entités privées pour le compte d’organismes gouvernementaux locaux ». Autrement dit, les données exposées ne provenaient pas des systèmes centraux et maintenus du gouvernement, mais de plateformes anciennes construites et exploitées par des fournisseurs tiers, censées ne plus être en service actif.

Cette distinction est importante, mais pas forcément dans le sens espéré par le gouvernement. Elle met en lumière des vulnérabilités systémiques bien plus répandues et dangereuses qu’une simple fuite isolée.

Le problème des fournisseurs tiers va bien au-delà d’un incident isolé

La propre description de l’ATDT des systèmes compromis met involontairement en avant l’un des risques les plus persistants et sous-estimés de la cybersécurité publique : la gestion des fournisseurs tiers.

À tous les niveaux, les agences gouvernementales s’appuient régulièrement sur des prestataires externes pour concevoir, déployer et gérer leurs systèmes technologiques. C’est particulièrement vrai au niveau local, où les ressources techniques internes sont souvent limitées. Le problème, c’est que ces relations manquent souvent des structures de gouvernance nécessaires pour sécuriser les données sur le long terme.

Les chiffres sont parlants. Selon le rapport Risk Score 2024 de Kiteworks, près de 30 % des agences gouvernementales échangent des données avec plus de 5 000 tiers, soit le taux le plus élevé de tous les secteurs. Parallèlement, les violations impliquant des fournisseurs tiers ont augmenté de 68 % et représentent désormais 15 % de toutes les fuites. Quarante-cinq pour cent des principales violations en 2024 impliquaient un fournisseur ou un partenaire.

Le score de risque global du secteur public a bondi de 95 % entre 2019 et 2023, passant de 4,0 à 7,8 sur l’échelle Kiteworks, principalement à cause des vulnérabilités liées aux tiers et aux infrastructures anciennes.

Ce qui rend la situation si dangereuse, c’est l’effet cumulatif du problème. Lorsqu’une agence confie à un fournisseur la création d’un système, ce dernier accède à des données sensibles. À la fin du contrat ou lors du remplacement du système, cet accès persiste souvent. Les identifiants ne sont pas révoqués, les données restent sur des serveurs sans surveillance active. Et comme la supervision est fragmentée entre les niveaux fédéral, étatique et local, il n’existe souvent aucune autorité unique pour suivre l’emplacement des données sensibles ou les accès possibles.

Pourquoi « obsolète » ne rime pas avec « sécurisé »

La présentation des systèmes concernés comme « obsolètes » visait probablement à rassurer le public. Mais elle révèle un problème plus profond dans la gestion du cycle de vie des données.

Si un système est réellement obsolète, c’est-à-dire plus utilisé ni nécessaire, alors les données qu’il contient devraient avoir été purgées ou archivées en toute sécurité. Le fait que des hacktivistes aient pu extraire 2,3 téraoctets de ces systèmes suggère qu’ils étaient loin d’être correctement décommissionnés.

Ce schéma se retrouve dans de nombreux gouvernements et grandes entreprises à travers le monde. Les anciennes bases de données, serveurs de fichiers et applications sont remplacés, mais pas désactivés. Ils restent connectés au réseau avec leurs identifiants d’origine, souvent oubliés par des équipes IT passées à d’autres priorités. Ces systèmes abandonnés deviennent des cibles faciles pour les attaquants, car ils combinent deux éléments prisés des hackers : des données précieuses et une surveillance de sécurité minimale.

Les échecs courants lors du décommissionnement incluent des bases de données anciennes toujours accessibles sur le réseau après remplacement, des identifiants d’anciens employés, prestataires ou fournisseurs jamais révoqués, des données sensibles jamais purgées ni archivées en toute sécurité, et des agences locales déployant des systèmes sans coordination avec la supervision fédérale en cybersécurité.

Chacune de ces failles constitue une brèche exploitable par les attaquants, et dans le cas du gouvernement mexicain, il semble que le Chronus Group ait précisément exploité ce type de vulnérabilités.

L’Amérique latine fait face à une montée des cybermenaces

La fuite mexicaine n’est pas un cas isolé. L’Amérique latine est devenue l’une des régions les plus ciblées au monde en matière de cyberattaques, les organisations locales subissant en moyenne 3 065 attaques par semaine.

Le paysage des menaces est varié et en pleine expansion. Des acteurs étatiques, dont les groupes Panda chinois, s’intéressent de plus en plus à la région. Les voleurs d’informations et les malwares de vol d’identifiants ont atteint des niveaux record de détection fin 2024 au Mexique et dans les pays voisins, selon ESET, et ces menaces continuent de croître.

Camilo Gutiérrez, RSSI terrain d’ESET pour l’Amérique latine, résume la situation ainsi : « Le paysage des menaces au Mexique est fréquent, varié et en pleine expansion, combinant des vecteurs traditionnels et de nouvelles formes d’attaque qui évoluent rapidement, ce qui renforce la nécessité de renforcer en continu les capacités de défense et de détection dans les secteurs public et privé. »

Au-delà des aspects techniques, la confiance est en crise. Une étude récente révèle que les experts en cybersécurité d’Amérique latine ont le niveau de confiance le plus bas au monde dans la capacité de leurs organisations et gouvernements à les protéger. Cette perte de confiance a des conséquences concrètes : lorsque citoyens et entreprises doutent de la capacité de l’État à protéger leurs données, ils se détournent des services publics numériques, sapant les efforts de modernisation qui pourraient justement améliorer la sécurité.

La stratégie des hacktivistes : exagérer, amplifier, recommencer

Il convient de noter que le Chronus Group semble avoir largement exagéré la gravité de la fuite. C’est une tactique courante chez les groupes hacktivistes, notamment ceux qui se forment autour d’une opération ou d’une cause précise.

Comme l’a souligné l’analyste de Recorded Future, ces groupes ont tendance à regrouper des données issues de multiples sources, mélangeant parfois de véritables compromissions récentes à des informations déjà divulguées, puis à présenter le tout comme une seule fuite massive. L’objectif est de se bâtir une réputation. Plus la fuite annoncée est importante, plus la couverture médiatique et l’amplification sur les réseaux sociaux sont grandes, et plus la crédibilité du groupe grandit dans les communautés de hackers.

Pour ESET, Gutiérrez décrit le Chronus Group non comme un acteur sophistiqué doté d’une signature technique claire, mais plutôt comme « un nom utilisé dans les forums et rapports locaux pour regrouper une série de fuites et de menaces visant principalement des institutions mexicaines ». Ce type d’affiliation lâche est courant dans le monde du hacktivisme, où la barrière à l’entrée est faible et l’incitation à l’exagération élevée.

Cela dit, même les allégations exagérées causent de vrais dégâts. Elles sapent la confiance du public, forcent les agences à gérer des crises dans l’urgence et créent la confusion sur la réalité des risques. La capacité à distinguer rapidement le vrai du faux grâce à l’analyse forensique et à des journaux d’audit détaillés est essentielle pour toute organisation confrontée à ce type de situation.

Comment Kiteworks répond à ces défis

Les allégations de fuite de données du gouvernement mexicain illustrent parfaitement les défis de sécurité et de conformité auxquels Kiteworks apporte une réponse. Les problèmes au cœur de cet incident — supervision fragmentée des tiers, systèmes anciens abandonnés, identifiants non révoqués et absence de gouvernance centralisée des données — sont précisément les failles que Kiteworks aide à combler.

Kiteworks propose une plateforme unifiée pour suivre, contrôler et sécuriser les données sensibles dans des écosystèmes complexes et multipartites. Pour les organisations confrontées à la multiplicité des fournisseurs et à une infrastructure décentralisée, comme dans le cas mexicain, cette plateforme offre plusieurs fonctions essentielles.

En matière de gestion des risques liés aux tiers, Kiteworks permet de conserver des journaux d’audit détaillés de tous les accès fournisseurs aux données sensibles. Des contrôles d’accès granulaires, basés sur les rôles et attributs, garantissent que les prestataires n’accèdent qu’aux données nécessaires à leur mission. À la fin d’un contrat ou lors du décommissionnement d’un système, la révocation automatisée des accès empêche les identifiants de subsister indéfiniment. Une surveillance continue permet de détecter en temps réel les comportements anormaux, comme des téléchargements massifs ou des accès depuis des emplacements inhabituels.

Pour la gouvernance des systèmes anciens, Kiteworks intègre des fonctions de Data Security Posture Management (DSPM) qui aident à découvrir et classifier les données sensibles dans tous les référentiels, y compris les systèmes signalés comme obsolètes mais contenant encore des données accessibles. Cette visibilité faisait justement défaut dans le cas mexicain, où des systèmes « obsolètes » hébergeaient encore des téraoctets de données citoyennes sans contrôle ni surveillance adaptés.

En cas d’incident, Kiteworks fournit l’infrastructure forensique nécessaire à une réponse rapide et efficace. Les journaux d’audit immuables assurent une traçabilité complète des accès (qui, quand, où). L’intégration SIEM permet une surveillance en temps réel et des alertes automatisées. La possibilité de révoquer rapidement les identifiants compromis sur tous les systèmes connectés limite la propagation des dégâts.

Mais surtout, pour les agences publiques, Kiteworks favorise la transparence, socle de la confiance citoyenne. La réaction initiale de l’ATDT aux allégations du Chronus Group était appropriée par sa rapidité et sa clarté. Mais pour maintenir cette confiance, il faut une visibilité continue sur la protection des données, les accès et les mesures préventives. La gouvernance centralisée et les fonctions de reporting de Kiteworks rendent cette transparence réellement opérationnelle.

Ce que chaque organisation doit retenir

Les allégations de fuite de données du gouvernement mexicain, qu’elles s’avèrent aussi graves que prétendu ou qu’il s’agisse surtout de données recyclées, livrent des enseignements qui dépassent le Mexique et l’Amérique latine.

Les fournisseurs tiers constituent la plus grande surface d’attaque pour la plupart des agences publiques, et la majorité des organisations n’ont pas la visibilité ni la gouvernance nécessaires pour gérer ce risque efficacement. Les systèmes anciens ne deviennent pas sûrs parce qu’on les juge obsolètes : ils le deviennent seulement lorsque leurs données sont purgées, les accès révoqués et la surveillance assurée pour détecter toute activité non autorisée. Les groupes hacktivistes ont compris que la perception d’une fuite massive peut être presque aussi dommageable que la fuite elle-même, d’où la nécessité pour les organisations de disposer de fonctions d’investigation permettant d’évaluer rapidement et de manière crédible la réalité d’un incident.

Dans tous ces défis, le fil conducteur est le besoin d’une gouvernance unifiée des données couvrant les systèmes fédéraux, étatiques et tiers, offrant aux équipes de sécurité une vision claire de l’emplacement des données sensibles, des accès et des activités en temps réel.

Les organisations qui investissent dès maintenant dans ces fonctions seront les mieux armées pour faire face à la prochaine fuite, qu’elle soit orchestrée par des hacktivistes en quête de notoriété, des acteurs étatiques poursuivant des objectifs stratégiques ou des cybercriminels motivés par l’appât du gain. Les autres risquent de se retrouver dans la situation du gouvernement mexicain : tenter de comprendre ce qui a été compromis tout en rassurant un public déjà en perte de confiance.

Foire aux questions

Le 30 janvier 2026, un groupe de hacktivistes appelé Chronus Group a affirmé avoir divulgué 2,3 téraoctets de données provenant d’au moins 25 institutions gouvernementales mexicaines. Les données comprendraient des noms, numéros de téléphone, adresses, dates de naissance et enregistrements d’inscription à la sécurité sociale pour jusqu’à 36 millions de citoyens mexicains. L’agence mexicaine de cybersécurité, l’ATDT, a répondu qu’aucune donnée sensible n’avait été publiée et que les informations semblaient provenir d’anciennes fuites stockées sur des systèmes obsolètes gérés par des tiers, et non d’une nouvelle intrusion dans l’infrastructure centrale du gouvernement.

Le Chronus Group est un collectif de hackers organisé de façon informelle, actif sous différentes formes depuis au moins 2021. Le groupe brouille la frontière entre hacktivisme et cybercriminalité : certains membres vendent des bases de données et identifiants volés sur le dark web, tandis que l’organisation se présente comme un groupe de « cyberterrorisme ». Les analystes en renseignement sur les menaces décrivent Chronus non comme un acteur techniquement sophistiqué avec une signature claire, mais plutôt comme un nom utilisé pour regrouper une série de fuites et de menaces visant principalement des institutions gouvernementales mexicaines. Leur stratégie consiste à amplifier la peur, l’incertitude et le doute via les réseaux sociaux pour générer des gros titres et renforcer leur réputation dans les communautés de hackers.

Lorsque les agences publiques remplacent des plateformes technologiques obsolètes, les anciens systèmes restent souvent connectés au réseau avec leurs identifiants d’accès d’origine toujours actifs. Ces systèmes abandonnés ne reçoivent généralement plus de correctifs de sécurité, ni de surveillance ou de supervision, ce qui en fait des cibles faciles pour les attaquants capables d’exfiltrer de grandes quantités de données sensibles sans être détectés. Dans la fuite mexicaine, l’ATDT a qualifié les plateformes compromises d’obsolètes, mais les hacktivistes ont tout de même pu extraire 2,3 téraoctets de données. Un décommissionnement correct implique de purger ou d’archiver en toute sécurité toutes les données sensibles, de révoquer chaque identifiant associé et de maintenir des journaux d’audit pour vérifier qu’aucun accès non autorisé n’a lieu après la mise hors service du système.

Les agences gouvernementales s’appuient régulièrement sur des prestataires externes pour concevoir et gérer leurs systèmes technologiques, surtout au niveau local. Ces relations fournisseurs créent un risque, car les agences manquent souvent de visibilité sur les données accessibles aux tiers, n’ont pas de processus automatisé pour révoquer les identifiants à la fin des contrats et fonctionnent dans un cadre de supervision fragmenté entre plusieurs niveaux de gouvernement. Selon le rapport Risk Score 2024 de Kiteworks, près de 30 % des agences publiques échangent des données avec plus de 5 000 tiers, et le score de risque du secteur a augmenté de 95 % entre 2019 et 2023. Sans gouvernance centralisée, contrôles d’accès automatisés et surveillance continue de l’activité des fournisseurs, ces relations deviennent des angles morts persistants exploités par les attaquants.

Les organisations latino-américaines subissent désormais en moyenne 3 065 cyberattaques par semaine, faisant de la région l’une des plus ciblées au monde. Les menaces proviennent de multiples directions : acteurs étatiques comme les groupes Panda chinois qui étendent leurs opérations, cybercriminels déployant des voleurs d’informations et des malwares de vol d’identifiants à des niveaux records, et collectifs hacktivistes comme le Chronus Group ciblant les institutions publiques. À la menace technique s’ajoute une crise de confiance chez les professionnels de la cybersécurité, qui déclarent avoir le niveau de confiance le plus bas au monde dans les capacités de défense de leurs organisations et gouvernements. Cette combinaison d’attaques croissantes et de confiance en berne crée un cercle vicieux où citoyens et entreprises se détournent des services publics numériques, compromettant les efforts de modernisation.

Kiteworks propose une plateforme unifiée qui offre aux organisations une visibilité et un contrôle centralisés sur les données sensibles à travers les systèmes fédéraux, étatiques et tiers. Pour la gestion des risques liés aux tiers, la plateforme conserve des journaux d’audit détaillés de tous les accès fournisseurs, applique des contrôles d’accès granulaires basés sur les rôles et attributs, et automatise la révocation des identifiants dès la fin d’un contrat ou le décommissionnement d’un système. Ses fonctions de Data Security Posture Management aident les agences à découvrir et classifier les données sensibles dans tous les référentiels, y compris les systèmes anciens qualifiés d’obsolètes mais contenant encore des enregistrements accessibles. En cas d’incident, les journaux d’audit immuables et l’intégration SIEM permettent une analyse forensique rapide afin que les équipes de sécurité déterminent l’étendue, la chronologie et l’impact d’une fuite avec certitude plutôt que sur la base de suppositions.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks