La Commission nationale de l'informatique et des libertés (Cnil) avait raison d’appréhender les conséquences de l’incendie chez OVH Cloud à la mi-mars. Dans un mail interne que L’Agefi a pu consulter, Axa France indique avoir été « victime d’une extraction non autorisée de données concernant certains collaborateurs ou anciens collaborateurs d’Axa en France ». Une extraction qui s’explique par l’incendie du data center de Strasbourg dans lequel un des fournisseurs d’Axa hébergeait ses données. « La sécurité de ses serveurs a été fragilisée à la suite de cet incendie et le fournisseur a subi une attaque cyber », explique l’assureur.

Le fournisseur en question est en charge de la gestion « des applications dédiées aux prêts souscrits auprès d’Axa par les collaborateurs d’Axa en France jusqu’en 2015 et au calcul du plan de retraite supplémentaire dont bénéficient tous les salariés d’Axa en France ». Une source syndicale indique à L’Agefi que cela correspondrait à 7.500 salariés de plus de 55 ans ou anciens salarié. Aucun client n’aurait été touché par cette fuite de données.

Pas de fuite de donnée bancaire

Précisément, les données en question sont les noms, prénoms, adresse postale, date de naissance, numéro de sécurité sociale, matricule Axa et base de calcul de la retraite supplémentaire. « Il n’y a en revanche aucune donnée bancaire ou de mot de passe qui sont les données de valeur intéressant généralement les hackers », minimise Axa dans son mail interne.

« Cet incident n’a aucun impact opérationnel sur notre fonctionnement », rassure Axa, qui indique aussi avoir neutralisé aujourd’hui le risque et appelle ses salariés à la vigilance. Joint, il précise aussi que les clés des numéros de sécurité sociale n’ont pas fuité.

La compagnie d’assurance doit présenter ses indicateurs d’activité pour le premier trimestre 2021 ce mardi soir.