Rennes Métropole : 5 500 agents exposés après une cyberattaque

Rennes Métropole a confirmé le 10 juin 2026 une cyberattaque visant ses systèmes d'information et ceux de la Ville de Rennes et du CCAS. Le communiqué publié sur le portail de la métropole précise que les données professionnelles d'environ 5 500 agents ont été dérobées puis diffusées « dans des espaces fréquentés par des cybercriminels ». Aucune donnée personnelle de résident n'a été compromise selon la collectivité.

La revendication est apparue en milieu de journée le 10 juin sur un forum cybercriminel ; l'alerte a été relayée publiquement sur X par l'expert SaxX, qui évoque environ 15 985 lignes d'annuaires administratifs et « des risques sérieux et réels compte tenu du détail des annuaires et organigrammes ». Reprises par Rennes Infos Autrement, Breizh-Info et Unidivers sans informations divergentes.

Ce qui a été exposé

Selon le communiqué officiel de la collectivité, l'export contient des informations exclusivement professionnelles :

• civilité, nom, prénom
• adresse e-mail professionnelle
• numéros de téléphone de service
• fonction, affectation
• lien hiérarchique
• site de travail
• identifiants techniques liés aux comptes de messagerie

L'ordre de grandeur — 5 500 agents recensés, 15 985 lignes d'annuaires côté revendication — correspond à l'addition des trois employeurs concernés : Rennes Métropole (établissement public de coopération intercommunale), Ville de Rennes (commune-centre) et CCAS (centre communal d'action sociale).

À noter — et c'est le point de fragilité opérationnelle réel : un organigramme nominatif détaillé d'une collectivité de cette taille est un outil de ciblage d'ingénierie sociale prêt à l'emploi. Lien hiérarchique, site, fonction, numéro de service et e-mail réunis dans un même export, c'est tout ce qu'il faut pour monter un hameçonnage convaincant à destination du compte d'un agent, d'un fournisseur ou d'un prestataire de la collectivité.

Périmètre et vecteur

La collectivité n'a pas, à ce stade, publié le vecteur d'intrusion. Le communiqué confirme la cyberattaque et la fuite des annuaires sans préciser si l'accès est venu d'un compte d'agent compromis, d'une application exposée, d'un prestataire ou d'une vulnérabilité spécifique. Aucun groupe ne revendique publiquement l'opération sous un pseudonyme connu (Chimeraz, LAGUI, ou un nom déjà associé à des fuites françaises récentes) ; à plus forte raison, aucune attribution étatique n'est avancée. La revente sur un forum cybercriminel est cohérente avec un opportuniste motivé par l'argent, pas un acteur sponsorisé — mais cette lecture reste à confirmer par l'enquête.

Rennes Métropole indique avoir déposé plainte et notifié les autorités. La CNIL est implicitement saisie par l'effet de l'article 33 du RGPD ; la collectivité ne précise pas dans son communiqué initial si une déclaration formelle a été déposée à la date du 10 juin.

Que faire

1. Agents des trois entités concernées : considérer son adresse e-mail professionnelle, son numéro de poste et sa fonction comme publiquement connus d'un attaquant à compter du 10 juin. Tout message entrant qui exploite ces éléments — y compris venant d'un collègue ou d'un supérieur hiérarchique cité dans l'annuaire — doit être vérifié hors canal (appel téléphonique sur un numéro déjà connu, et non sur celui indiqué dans le mail).
2. DSI de la collectivité : prioriser le monitoring des tentatives de phishing ciblées sur la base des données fuitées. Les premières vagues d'usurpation arrivent typiquement dans la semaine suivant la publication d'un annuaire — la base est désormais entre les mains d'opportunistes qui n'attendront pas un blanchiment d'identité avant de la monétiser.
3. Prestataires et fournisseurs : tout interlocuteur identifié dans les annuaires est susceptible de recevoir un faux mail de changement de RIB, de demande urgente de bon de commande ou de relance de facturation à l'identité d'un agent réel. Renforcer en amont les contrôles à double validation sur les changements de coordonnées bancaires.
4. Autres collectivités françaises : ce mode opératoire — vol et publication d'annuaires internes plutôt que chiffrement ransomware — est une variante de plus en plus fréquente. Une revue des expositions d'annuaires LDAP / Active Directory et des applications RH accessibles sans MFA depuis l'extérieur est un investissement plus rentable cette semaine que toute autre mesure périmétrique.
5. Citoyens rennais : la collectivité indique qu'aucune donnée de résident ne figure dans le lot. Sauf publication ultérieure d'un échantillon contredisant ce point, il n'y a pas, à ce stade, d'action individuelle à engager côté usagers des services municipaux.

Contexte

Rennes Métropole rejoint une liste qui s'allonge en 2026 : collectivités françaises victimes de fuites de données d'agents plutôt que d'attaques par chiffrement. Le calcul est lisible côté attaquant : le ransomware sur une collectivité expose à une réponse coordonnée ANSSI / CERT-FR et à une médiatisation immédiate, sans paiement quasi systématiquement (la doctrine française ne paie pas) ; la revente d'annuaires sur un forum cybercriminel rapporte vite, n'expose qu'à la déclaration RGPD, et fournit la matière première à la chaîne d'hameçonnage et de fraude au virement des semaines suivantes.

Le précédent récent le plus proche est l'incident Tchap du 7 juin, qui exposait sur le même principe les annuaires de salons publics de la messagerie d'État à partir d'un compte compromis à l'Éducation nationale. Différence structurelle : Tchap, c'est un compte volé en amont d'une plateforme nationale ; Rennes Métropole, c'est une intrusion directe dans le système d'information d'une collectivité — qui reste à qualifier. Point commun : dans les deux cas, la donnée d'agent est devenue le produit, plus encore que l'usager final.

Les jours qui viennent diront si la collectivité publie un retour d'expérience documentant le vecteur, ou si l'incident rejoint la file longue des fuites françaises pour lesquelles la cause exacte reste hors du communiqué officiel.