---
url: 'https://www.corbado.com/ar/blog/data-breaches-france'
title: 'أكبر 10 خروقات للبيانات في فرنسا [2026]'
description: 'اكتشف أكبر 10 خروقات للبيانات في فرنسا. من France Travail إلى Cegedim. مع شرح غرامات CNIL وقواعد الإبلاغ وطرق الوقاية.'
lang: 'ar'
author: 'Vincent Delitz'
date: '2026-05-27T10:31:25.845Z'
lastModified: '2026-05-27T10:34:03.117Z'
keywords: 'خرق البيانات في فرنسا, غرامات اللائحة العامة لحماية البيانات في فرنسا, هجوم إلكتروني في فرنسا, الإبلاغ عن خرق البيانات في فرنسا, خرق بيانات France Travail, أكبر خرق للبيانات في فرنسا 2026, الشركات الفرنسية المخترقة, أكبر خرق للبيانات في فرنسا 2026'
category: 'Passkeys Strategy'
---
# أكبر 10 خروقات للبيانات في فرنسا [2026]
## Key Facts
- أدى **خرق France Travail** (مارس 2024) إلى كشف البيانات الشخصية لما يصل إلى **43 مليون** باحث عن عمل، مما يجعله أكبر خرق للبيانات في تاريخ فرنسا. فرضت اللجنة الوطنية للمعلوماتية والحريات (CNIL) غرامة قدرها **5 ملايين يورو** على France Travail في يناير 2026 بموجب المادة 32 من اللائحة العامة لحماية البيانات (GDPR)، حيث يبلغ الحد الأقصى للغرامة للهيئة العامة 10 ملايين يورو.
- بين عامي 2024 و2025، تم كشف أكثر من **145 مليون سجل** يخص مواطنين فرنسيين عبر الخدمات العامة والرعاية الصحية والاتصالات والتجزئة، وهو ما يعادل خروقات متعددة لكل مقيم فرنسي.
- أكدت ثلاث من شركات الاتصالات الفرنسية الكبرى الأربع (Free و Bouygues Telecom و SFR) حدوث خروقات للبيانات في عامي 2024-2025، حيث كشفت Free و Bouygues Telecom وحدهما عن أرقام الحسابات المصرفية الدولية (IBAN) لأكثر من **11 مليون مشترك** مجتمعين.
- أصدرت CNIL غرامات مجمعة قياسية بلغت **42 مليون يورو ضد Free Mobile (27 مليون) و Free (15 مليون)** في 13 يناير 2026، مما يشير إلى الانتقال من التحذيرات إلى الإنفاذ العقابي.
- يجب على مراقبي البيانات الفرنسيين إبلاغ **CNIL بحدوث خروقات للبيانات الشخصية في غضون 72 ساعة** بموجب المادة 33 من اللائحة العامة لحماية البيانات (GDPR). بالإضافة إلى ذلك، يقوم مشغلو الأهمية الحيوية (OIV) والخدمات الأساسية (OSE) بإخطار **ANSSI**؛ كان تحويل توجيه NIS2 إلى القانون الفرنسي لا يزال جاريًا في عام 2026.
## 1. مقدمة
أصبحت فرنسا واحدة من أكثر الولايات القضائية تعرضًا للاختراق في أوروبا. بين عامي 2024 و2025، تم كشف أكثر من **145 مليون سجل** يخص مواطنين فرنسيين عبر الخدمات العامة و[الرعاية الصحية](https://www.corbado.com/passkeys-for-healthcare) و[الاتصالات](https://www.corbado.com/passkeys-for-telecom) و[التجزئة](https://www.corbado.com/passkeys-for-e-commerce)، مما يعني إحصائيًا أن **كل مقيم فرنسي كان جزءًا من خروقات متعددة**. وفقًا لـ [CNIL](https://www.cnil.fr/en)، تم تلقي أكثر من 5600 إشعار بخرق في عام 2024، وهو مستوى قياسي جديد.
تسرد هذه المقالة أهم 10 خروقات للبيانات في التاريخ الفرنسي الحديث، من 43 مليون سجل تم كشفها في حادثة France Travail إلى تسريب البرمجيات الصحية Cegedim Santé، جنبًا إلى جنب مع قواعد إعداد تقارير CNIL والغرامات وأنماط الوقاية التي تنطبق على أي مؤسسة تعمل في فرنسا.
## 2. لماذا تعتبر فرنسا هدفًا جذابًا لخروقات البيانات؟
يتحد [القطاع العام](https://www.corbado.com/passkeys-for-public-sector) الفرنسي عالي الرقمنة ونظام [الدفع](https://www.corbado.com/passkeys-for-payment) الكثيف لـ [الرعاية الصحية](https://www.corbado.com/passkeys-for-healthcare) وثلاث شركات [اتصالات](https://www.corbado.com/passkeys-for-telecom) كبرى تمتلك كل منها عشرات الملايين من سجلات المشتركين لإنتاج سطح هجوم ضخم. أضف إلى ذلك النقص المزمن في الاستثمار في الأمن السيبراني مقارنة بالدول النظيرة والهندسة الاجتماعية التي تستهدف مستشاري الخطوط الأمامية، وتكون النتيجة هي السلسلة القياسية من الخروقات التي شهدتها فرنسا في الفترة 2024-2026.
### 2.1 قطاع عام عالي الرقمنة
تمتلك فرنسا واحدة من أكثر مجموعات [الحكومة](https://www.corbado.com/passkeys-for-public-sector) الإلكترونية تقدمًا في أوروبا. يوجه FranceConnect، الاتحاد الوطني للهوية، الوصول إلى الضرائب و[الرعاية الصحية](https://www.corbado.com/passkeys-for-healthcare) والتوظيف والفوائد العائلية. لذلك، يمكن لحساب مستشار واحد مخترق أن يكشف السجلات التي تمتد لعقود، كما رأينا مع France Travail و Pass'Sport و OFII. يحتفظ [القطاع العام](https://www.corbado.com/passkeys-for-public-sector) ببيانات المواطنين من المهد إلى اللحد، مما يخلق تركيزًا للسجلات الحساسة لا مثيل له في الحجم.
### 2.2 نظام بيئي كثيف من معالجي الطرف الثالث
يعتمد [التأمين](https://www.corbado.com/passkeys-for-insurance) الصحي الفرنسي على عدد صغير من منصات الدفع للطرف الثالث (Viamedis و Almerys و Cegedim) التي تعالج البيانات لعشرات شركات التأمين المتبادل. لذلك ينتشر اختراق واحد إلى عشرات الملايين من حاملي وثائق التأمين. يظهر النمط نفسه في قطاع [الاتصالات](https://www.corbado.com/passkeys-for-telecom) (اختراق Bouygues [Telecom](https://www.corbado.com/passkeys-for-telecom) عام 2025 عبر مورد طرف ثالث) وفي [التجارة الإلكترونية](https://www.corbado.com/passkeys-for-e-commerce). حتى المؤسسات التي لديها برامج أمان داخلية ناضجة تظل مكشوفة من خلال شبكات البائعين الخاصة بها.
### 2.3 نقص مزمن في الاستثمار في الأمن السيبراني
تقدر التحليلات المستقلة مثل [Edouard.ai](https://edouard.ai/blog/france-data-leaks-2025-bouygues-passsport-impots) إنفاق الأمن السيبراني العام في فرنسا بحوالي **0.03% من الناتج المحلي الإجمالي** (تقدير وليس رقمًا رسميًا)، وهو أقل بشكل ملحوظ من الدول الأوروبية النظيرة. ظل متوسط غرامات CNIL تاريخياً أقل من نظرائه في الاتحاد الأوروبي، مما قلل من الرادع المالي لضعف الأمن، وهي فجوة يغلقها المنظم الآن بعقوبات قياسية ضد Free Mobile و France Travail وغيرها.
### 2.4 الهندسة الاجتماعية وثغرات المصادقة متعددة العوامل (MFA)
بدأت العديد من أكبر الحوادث الفرنسية (France Travail و Viamedis و Free) بالتصيد الاحتيالي أو الاستيلاء على الحسابات على بوابات المستشارين أو الموظفين التي لم تفرض مصادقة متعددة العوامل (MFA) مقاومة للتصيد الاحتيالي. في كل حالة، استهدف المهاجمون **العنصر البشري على الحافة** بدلاً من البنية التحتية الأساسية. يصنف تحالف FIDO Alliance مفاتيح المرور على أنها مقاومة للتصيد الاحتيالي حسب التصميم، نظرًا لأن كل مفتاح مرور مرتبط بالمصدر الشرعي ولا يمكن إعادة تشغيله ضد المواقع التي يتحكم فيها المهاجم. لا تزال الخدمات العامة وشركات الاتصالات الفرنسية التي لم تنشر بعد مفاتيح المرور أو المصادقة المدعومة بالأجهزة مكشوفة لنفس الفئة من الهجمات.
## 3. أكبر 10 خروقات للبيانات في فرنسا
كشفت أكبر عشر خروقات للبيانات الفرنسية منذ عام 2023 عن **145 مليون سجل** على الأقل مجتمعة وأثارت غرامات من CNIL بلغ مجموعها **47 مليون يورو** بحلول يناير 2026. وهي تشمل الخدمات العامة (France Travail و Pass'Sport) ومنصات الرعاية الصحية (Viamedis و Almerys و Cegedim Santé) والاتصالات (Free و Bouygues Telecom) و[تجزئة](https://www.corbado.com/passkeys-for-e-commerce) المستهلك (ManoMano و Sport 2000). يلخص الجدول أدناه النطاق والسنة والنتيجة التنظيمية؛ وتتبع ذلك أوصاف تفصيلية للحالات وأنماط الوقاية.
| # | الشركة / الكيان | السنة | السجلات أو النطاق | النتيجة التنظيمية |
| --- | --- | --- | --- | --- |
| 1 | France Travail | 2024 | ما يصل إلى 43 مليونًا | **غرامة CNIL بقيمة 5 ملايين يورو (2026)** |
| 2 | ManoMano | 2026 | ما يصل إلى 37.8 مليونًا (مدعى) | قيد المراجعة |
| 3 | Viamedis و Almerys | 2024 | 33 مليونًا | تحقيق CNIL جارٍ |
| 4 | Free / Free Mobile | 2024 | 24.6 مليونًا (5.11 مليون IBAN) | **غرامة CNIL بقيمة 42 مليون يورو (2026)** |
| 5 | Cegedim Santé (MLM) | 2025 | 15 مليونًا | فُتح تحقيق جنائي |
| 6 | France Travail (MOVEit) | 2023 | 10 ملايين | لا توجد غرامة CNIL منفصلة |
| 7 | Bouygues Telecom | 2025 | 6.4 ملايين (مع أرقام IBAN) | تم إخطار CNIL و ANSSI |
| 8 | Pass'Sport | 2025 | 6.4 ملايين عنوان بريد إلكتروني | تم إخطار CNIL |
| 9 | Sport 2000 | 2024 | 3.2 ملايين | مفهرسة في HIBP، تم إخطار CNIL |
| 10 | Fédération Française de Football | 2025 | حوالي 2.4 مليون عضو مرخص | تم إخطار CNIL |
### 3.1 خرق بيانات France Travail (2024)
| التفاصيل | المعلومات |
| --- | --- |
| التاريخ | مارس 2024 |
| عدد العملاء المتأثرين | ما يصل إلى 43 مليونًا |
| البيانات المخترقة | - الأسماء الكاملة
- تواريخ وأماكن الميلاد
- أرقام الضمان الاجتماعي (NIR)
- معرفات France Travail
- عناوين البريد الإلكتروني
- العناوين البريدية
- أرقام الهواتف |
في مارس 2024، كشف France Travail (المعروف سابقًا باسم Pôle Emploi) و Cap Emploi عما يُعتبر الآن أكبر خرق للبيانات في التاريخ الفرنسي. استخدم المهاجمون **الهندسة الاجتماعية** لاختطاف حسابات مستشاري Cap Emploi (المؤسسة التي تدعم الأشخاص ذوي الإعاقة) ووصلوا إلى بيانات جميع الأفراد الذين تم تسجيلهم على مدار العشرين عامًا الماضية، بالإضافة إلى المرشحين الذين لديهم ملف تعريف على francetravail.fr. وفقًا لـ [CNIL](https://www.cnil.fr/en/data-breach-5million-fine-france-travail)، قد يكون ما يصل إلى 43 مليون شخص قد تأثروا.
في 22 يناير 2026، غرمت [CNIL](https://www.cnil.fr/en/data-breach-5million-fine-france-travail) France Travail **5 ملايين يورو** بموجب المادة 32 من اللائحة العامة لحماية البيانات، حيث يبلغ الحد الأقصى القانوني للهيئة العامة 10 ملايين يورو. أشارت الجهة التنظيمية إلى "الجهل بمبادئ الأمن الأساسية" وأمرت بتدابير تصحيحية تحت طائلة غرامة قدرها 5000 يورو يوميًا. كان هذا بالفعل الخرق الثاني لـ France Travail: في أغسطس 2023، أدى حادث طرف ثالث مرتبط بمجموعة برامج الفدية Cl0p التي تستغل ثغرة اليوم الصفر (zero-day) في MOVEit Transfer إلى كشف بيانات 10 ملايين مستخدم.
طرق الوقاية:
- فرض مصادقة متعددة العوامل (MFA) مقاومة للتصيد الاحتيالي (مفاتيح المرور) لجميع حسابات المستشارين والمسؤولين التي تصل إلى بيانات المواطنين بالجملة
- تطبيق الكشف عن الحالات الشاذة للاستعلام بالجملة وقواعد صارمة للاحتفاظ بالبيانات على قواعد بيانات المواطنين
### 3.2 خرق بيانات ManoMano (2026)
| التفاصيل | المعلومات |
| --- | --- |
| التاريخ | فبراير 2026 |
| عدد العملاء المتأثرين | ما يصل إلى 37.8 مليونًا (مدعى) |
| البيانات المخترقة | - بيانات الهوية
- تفاصيل الاتصال
- المعلومات الإدارية |
في فبراير 2026، تم ذكر عملاق [التجارة الإلكترونية](https://www.corbado.com/passkeys-for-e-commerce) الفرنسي ManoMano من قبل جهات التهديد في عملية بيع بيانات مشار إليها عبر العديد من متتبعات الأمن السيبراني الفرنسية. ادعى الفاعل أنه اخترق **ما يصل إلى 37.8 مليون سجل عميل**، بما في ذلك بيانات الهوية وتفاصيل الاتصال والمعلومات الإدارية. يتوافق حجم الادعاء مع قاعدة مستخدمي المنصة التراكمية في الاتحاد الأوروبي بدلاً من العملاء الفرنسيين النشطين، لكن الحادث لا يزال أحد أعلى عمليات بيع البيانات المرتبطة بفرنسا من حيث الحجم والتي تمت ملاحظتها على الإطلاق.
يؤكد هذا الكشف كيف أصبحت [الأسواق](https://www.corbado.com/passkeys-for-e-commerce) الاستهلاكية الكبيرة في فرنسا جذابة للمهاجمين مثل البنوك أو شركات الاتصالات، لا سيما عندما يمكن دمج البيانات مع التسريبات السابقة لبناء "رسوم بيانية للهوية" من أجل الاحتيال.
طرق الوقاية:
- المراقبة المستمرة للمنتديات السرية و[أسواق](https://www.corbado.com/passkeys-for-e-commerce) الاختراق بحثًا عن قوائم العملاء المكشوفة وفرض حدود صارمة لمعدل واجهة برمجة التطبيقات (API) على نقاط نهاية العملاء
- تقليل الاحتفاظ بملفات تعريف العملاء التاريخية منخفضة النشاط
### 3.3 خرق بيانات Viamedis و Almerys (2024)
| التفاصيل | المعلومات |
| --- | --- |
| التاريخ | يناير-فبراير 2024 |
| عدد العملاء المتأثرين | 33 مليونًا |
| البيانات المخترقة | - الأسماء
- تواريخ الميلاد
- تفاصيل شركة التأمين
- أرقام الضمان الاجتماعي
- الحالة الاجتماعية والمدنية
- استحقاقات الدفع للطرف الثالث |
في يناير وفبراير 2024، تم اختراق Viamedis و Almerys، وهما معالجان فرنسيان لدفع الطرف الثالث لـ [التأمين](https://www.corbado.com/passkeys-for-insurance) الصحي التكميلي و[الدفع](https://www.corbado.com/passkeys-for-payment)، في تتابع سريع. أكدت CNIL أنهما معًا، أثرت الحوادث على **33 مليون شخص، أي ما يقرب من نصف سكان فرنسا**.
تُعزى عملية اختراق Viamedis إلى **هجوم تصيد احتيالي** يستهدف المتخصصين في الرعاية الصحية، مما سمح للمهاجمين بإعادة استخدام بيانات الاعتماد المسروقة على بوابة المزود. يُشتبه في أن Almerys تعرضت لهجوم عبر بوابة مماثلة لمتخصصي الرعاية الصحية.
> "إنها المرة الأولى التي يحدث فيها انتهاك بهذا الحجم." — يان بادوفا، الأمين العام السابق لـ CNIL (2024)
طرق الوقاية:
- نشر مصادقة متعددة العوامل (MFA) مقاومة للتصيد الاحتيالي (مفاتيح المرور) لكل متخصص في الرعاية الصحية يصل إلى بيانات الأعضاء المؤمن عليهم
- تقسيم منصات tiers-payant بحيث لا يمكن لبوابة واحدة مخترقة كشف قاعدة البيانات الوطنية بأكملها
### 3.4 خرق بيانات Free (2024)
| التفاصيل | المعلومات |
| --- | --- |
| التاريخ | أكتوبر 2024 |
| عدد العملاء المتأثرين | 24.6 مليون عقد (19.46 مليون Free Mobile + 5.17 مليون Free)، بما في ذلك 5.11 مليون IBAN |
| البيانات المخترقة | - الأسماء الكاملة
- عناوين البريد الإلكتروني
- تواريخ الميلاد
- العناوين البريدية
- أرقام الهواتف
- 5.11 مليون رقم IBAN (لعملاء Free فقط) |
في أكتوبر 2024، أكدت شركة Free (ثاني أكبر مزود خدمة إنترنت في فرنسا والشركة التابعة لمجموعة Iliad) أن مهاجمين قد اخترقوا أداة إدارة داخلية وسربوا بيانات تتعلق بـ **19.46 مليون عقد Free Mobile و 5.17 مليون عقد Freebox**، بما في ذلك **أرقام IBAN لجميع عملاء Freebox البالغ عددهم 5.11 مليون عميل**. تم عرض البيانات بسرعة للبيع بالمزاد العلني في BreachForums بواسطة جهة تهديد تُعرف باسم "drussellx"، حيث وصل العرض النهائي إلى 175000 يورو.
أكدت Free أن كلمات المرور وبيانات بطاقات [الدفع](https://www.corbado.com/passkeys-for-payment) ومحتوى الاتصالات لم تتأثر، لكن الجمع بين أرقام IBAN والاسم الكامل وتاريخ الميلاد كافٍ للاحتيال على الخصم المباشر والتصيد الاحتيالي عالي الجودة. في 13 يناير 2026، [فرضت CNIL عقوبات على Free Mobile بقيمة 27 مليون يورو و Free بقيمة 15 مليون يورو](https://www.cnil.fr/en) (42 مليون يورو في المجموع) لعدم كفاية الأمان حول بيانات المشتركين، وهي واحدة من أكبر عقوبات اللائحة العامة لحماية البيانات المجمعة التي صدرت في فرنسا على الإطلاق بسبب خرق للبيانات.
طرق الوقاية:
- حماية الأدوات الداخلية ذات الامتيازات بمصادقة متعددة العوامل (MFA) مقاومة للتصيد الاحتيالي والوصول في الوقت المناسب
- تحويل أرقام IBAN ومعرفات الدفع إلى رموز مميزة (Tokenize) بحيث لا تكون سجلات المشتركين قابلة لتحقيق الدخل بشكل مباشر
### 3.5 خرق بيانات Cegedim Santé (MLM) (2025)
| التفاصيل | المعلومات |
| --- | --- |
| التاريخ | أكتوبر 2025 |
| عدد العملاء المتأثرين | حوالي 15 مليون مريض |
| البيانات المخترقة | - البيانات الإدارية للمرضى (اللقب، الاسم الأول، الجنس، إلخ)
- 19 مليون سجل على مدى 15 عامًا |
في أكتوبر 2025، اخترق مهاجمون "MonLogicielMedical.com" (MLM)، وهو برنامج لإدارة الممارسات الطبية تم تحريره بواسطة [Cegedim Santé](https://www.cegedim.com/) ويستخدمه الآلاف من المتخصصين في الرعاية الصحية الفرنسية. وفقًا لوزارة الصحة الفرنسية، أدى الحادث إلى اختراق **البيانات الإدارية لما يقرب من 15 مليون مريض فرنسي**، تمتد إلى 15 عامًا من التاريخ و 19 مليون سطر سجل رقمي.
في توضيحها في فبراير 2026، صرحت Cegedim Santé أن البيانات المعنية كانت **إدارية حصريًا** (معلومات من نوع الهوية مثل اللقب والاسم الأول والجنس)، وأن السجلات السريرية المنظمة والتعليقات الطبية ذات النص الحر والتشخيصات الحساسة مثل حالة فيروس نقص المناعة البشرية (HIV) **لم** يتم تضمينها. تم فتح تحقيق جنائي بتهمة "خرق نظام آلي للبيانات" في 27 أكتوبر 2025.
> "يُحتمل أن يكون أكبر تسريب في تاريخ الرعاية الصحية الفرنسية." — جيروم بيلوا، خبير الأمن السيبراني في Wavestone (أكتوبر 2025)
طرق الوقاية:
- فرض مصادقة قوية (مفاتيح المرور) لكل ممارس يصل إلى البرامج الطبية السحابية
- تطبيق تقليل البيانات بدقة والفصل بين بيانات الهوية الإدارية والسجلات السريرية في المنصات الطبية SaaS
### 3.6 خرق بيانات France Travail MOVEit (2023)
| التفاصيل | المعلومات |
| --- | --- |
| التاريخ | أغسطس 2023 |
| عدد العملاء المتأثرين | حوالي 10 ملايين |
| البيانات المخترقة | - الأسماء الكاملة
- أرقام الضمان الاجتماعي
- تفاصيل الاتصال |
قبل حادثة عام 2024 التي تصدرت عناوين الأخبار، كانت France Travail بالفعل ضحية لخرق طرف ثالث مرتبط بمجموعة برامج الفدية Cl0p التي تستغل ثغرة اليوم الصفر (zero-day) في برنامج Progress MOVEit Transfer. كشف الهجوم عن المعلومات الشخصية لما يقرب من **10 ملايين باحث عن عمل**، بما في ذلك الأسماء و NIRs وتفاصيل الاتصال. كان جزءًا من موجة سلسلة التوريد العالمية MOVEit التي أثرت على مئات المؤسسات في جميع أنحاء العالم وكانت نذيرًا بخرق عام 2024 الأكبر للوكالة نفسها.
طرق الوقاية:
- الاحتفاظ بجرد محدث لبرامج نقل الملفات التابعة لجهات خارجية المعرضة للإنترنت وتطبيق التصحيح الافتراضي لنوافذ يوم الصفر (zero-day)
- تقسيم خطوط نقل الملفات عن الموارد البشرية الأساسية وقواعد بيانات المواطنين
### 3.7 خرق بيانات Bouygues Telecom (2025)
| التفاصيل | المعلومات |
| --- | --- |
| التاريخ | أغسطس 2025 |
| عدد العملاء المتأثرين | 6.4 ملايين |
| البيانات المخترقة | - الأسماء الكاملة
- العناوين البريدية
- أرقام الهواتف
- تواريخ الميلاد
- بيانات العقد
- أرقام IBAN |
في 4 أغسطس 2025، اكتشفت شركة Bouygues Telecom، إحدى شركات الاتصالات المحمولة الكبرى في فرنسا والتي تضم حوالي 14.5 مليون مشترك في الهاتف المحمول وقاعدة عملاء إجمالية تبلغ حوالي 23 مليونًا، هجومًا إلكترونيًا ضد نظام إدارة العملاء. بعد يومين، أكدت الشركة أن المهاجمين تمكنوا من الوصول إلى البيانات الشخصية والتعاقدية لـ **6.4 ملايين عميل**، بما في ذلك أرقام IBAN. لم يتم اختراق كلمات المرور وأرقام بطاقات الدفع.
تم الإبلاغ عن الخرق، الذي يُعتقد أنه نشأ من مورد طرف ثالث، إلى CNIL و ANSSI. بموجب [المادة 323-1 من قانون العقوبات الفرنسي](https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000030939438/)، يواجه المهاجم ما يصل إلى ثلاث سنوات من السجن للوصول غير المصرح به إلى نظام معالجة البيانات الآلي، وترتفع إلى خمس سنوات في حالة تعديل البيانات أو إعاقة النظام. تواجه Bouygues Telecom نفسها تدقيقًا بموجب اللائحة العامة لحماية البيانات (GDPR) من CNIL بشأن إدارتها لمخاطر الطرف الثالث. يعد الحادث جزءًا من نمط أوسع أثر أيضًا على SFR (سبتمبر 2025، التفاصيل [المصرفية](https://www.corbado.com/passkeys-for-banking)) و Free في 2024-2025.
طرق الوقاية:
- التعامل مع موردي الطرف الثالث كجزء من سطح الهجوم الأساسي وطلب مصادقة متعددة العوامل (MFA) مقاومة للتصيد الاحتيالي عبر جميع الأنظمة المتصلة
- تحويل أرقام IBAN ومعرفات الدفع الأخرى إلى رموز مميزة للحد من قيمة سرقة البيانات بالجملة
### 3.8 خرق بيانات Pass'Sport (ديسمبر 2025)
| التفاصيل | المعلومات |
| --- | --- |
| التاريخ | ديسمبر 2025 |
| عدد العملاء المتأثرين | 3.5 ملايين أسرة (6.4 ملايين عنوان بريد إلكتروني فريد) |
| البيانات المخترقة | - هويات المستفيدين والآباء
- تفاصيل الاتصال
- المعلومات الإدارية |
Pass'Sport هو برنامج [حكومي](https://www.corbado.com/passkeys-for-public-sector) فرنسي تديره وزارة الرياضة ويقدم إعانة قدرها **70 يورو** (50 يورو سابقًا) للشباب المؤهلين لعضويات الأندية الرياضية. في ليلة 17-18 ديسمبر 2025، ظهر ملف بحجم 15 غيغابايت يحتوي على أكثر من 22 مليون سطر من البيانات على الإنترنت. أرجعت التقارير الإعلامية الأولية التسريب خطأً إلى صندوق الإعانات العائلية (CAF)، والذي نفى علنًا أي تدخل في caf.fr. أكدت وزارة الرياضة لاحقًا أن البيانات نشأت من **نظام معلومات Pass'Sport**، حيث تغطي حوالي **3.5 ملايين أسرة و 6.4 ملايين عنوان بريد إلكتروني فريد** للمستفيدين وآبائهم أو أولياء أمورهم.
غطت السجلات المكشوفة الفترة من سبتمبر 2024 إلى نوفمبر 2025 وتضمنت هويات كاملة وعناوين بريدية وأرقام هواتف وعناوين بريد إلكتروني، ولكن لم تتضمن أي بيانات [مصرفية](https://www.corbado.com/passkeys-for-banking) أو كلمات مرور. تعتبر مجموعة البيانات قيمة بشكل خاص للتصيد المستهدف للعائلات التي لديها قاصرون، وتم فهرسة حصة كبيرة منها منذ ذلك الحين في [Have I Been Pwned](https://haveibeenpwned.com/).
طرق الوقاية:
- تطبيق أقصى حماية ممكنة على الأنظمة التي تعالج بيانات القاصرين، بما في ذلك المصادقة متعددة العوامل (MFA) الإلزامية المقاومة للتصيد الاحتيالي للمسؤولين
- تقليل المدة التي يتم فيها الاحتفاظ ببيانات المستفيد بعد انتهاء البرنامج
### 3.9 خرق بيانات Sport 2000 (2024)
| التفاصيل | المعلومات |
| --- | --- |
| التاريخ | أبريل 2024 |
| عدد العملاء المتأثرين | 3.2 ملايين عنوان بريد إلكتروني فريد (4.4 ملايين سجل) |
| البيانات المخترقة | - الأسماء الكاملة
- عناوين البريد الإلكتروني
- أرقام الهواتف
- العناوين البريدية
- تواريخ الميلاد
- سجل الشراء لكل متجر |
في أبريل 2024، عانى بائع السلع الرياضية الفرنسي **Sport 2000** من خرق للبيانات تمت فهرسته لاحقًا بواسطة [Have I Been Pwned](https://haveibeenpwned.com/Breach/Sport2000). نشر فاعل تهديد يعمل تحت الاسم المستعار "ChatNoir7331" قاعدة بيانات تحتوي على **4.4 ملايين صف مع 3.2 ملايين عنوان بريد إلكتروني فريد** للبيع في منتدى للقرصنة، وتم إعادة نشر مجموعة البيانات لاحقًا مجانًا في يونيو 2024. تضمن التسريب الأسماء وعناوين البريد الإلكتروني والبريد وأرقام الهواتف وتواريخ الميلاد وسجل الشراء المفصل المرتبط بمواقع متاجر محددة.
يجعل الجمع بين بيانات الاتصال وسجل الشراء لكل متجر تسريب Sport 2000 مفيدًا بشكل خاص للتصيد الاحتيالي المستهدف للغاية ("عملية الشراء الأخيرة في Sport 2000 Lyon...") ويوضح كيف يمكن لتجار التجزئة الفرنسيين متوسطي الحجم إنتاج خروقات على مستوى المستهلك عندما تكون قواعد بيانات التسويق سيئة التقسيم.
طرق الوقاية:
- تقسيم قواعد البيانات التسويقية والمعاملات، وتدوير رموز الوصول المستخدمة بواسطة أدوات التسويق لجهات خارجية
- تقليل الاحتفاظ بسجل الشراء التاريخي المرتبط بالعملاء الذين يمكن تحديد هويتهم
### 3.10 خرق بيانات Fédération Française de Football (2025)
| التفاصيل | المعلومات |
| --- | --- |
| التاريخ | 2025 |
| عدد العملاء المتأثرين | حوالي 2.4 مليون عضو مرخص |
| البيانات المخترقة | - هويات الأعضاء
- تواريخ الميلاد
- تفاصيل الاتصال
- أرقام التراخيص |
في عام 2025، كشف [Fédération Française de Football (FFF)](https://www.fff.fr/) عن خرق أدى إلى كشف البيانات الشخصية لأعضائه المرخصين. ينشر FFF ما يقرب من **2.38 مليون عضو مرخص** لموسم 2023-2024. وفقًا لإشعار "سرقة البيانات" الخاص بـ FFF، غطى الحادث بيانات الهوية والاتصال (الأسماء وتواريخ الميلاد وأرقام التراخيص وبعض وثائق الهوية) واستبعد بشكل صريح **البيانات الصحية**. كان حادث FFF جزءًا من موجة ضربت أيضًا Fédération Française de Voile و Fédération Française de Gymnastique و Fédération Française de Tir وغيرها، مما يؤكد أن الاتحادات الرياضية الفرنسية هدف جذاب نظرًا لمجموعات البيانات الكبيرة المخزنة تاريخيًا وميزانيات أمن تكنولوجيا المعلومات الضعيفة نسبيًا.
طرق الوقاية:
- إعطاء الأولوية للاستثمار في الأمن السيبراني في الاتحادات والمنظمات غير الربحية التي تمتلك بيانات أعضاء لعقود
- إزالة السجلات التاريخية التي لم يعد هناك حاجة إليها لتشغيل التراخيص
## 4. كيفية الإبلاغ عن خرق للبيانات في فرنسا
يجب على مراقبي البيانات الفرنسيين إبلاغ [CNIL](https://www.cnil.fr/en) بحدوث خرق للبيانات الشخصية في غضون **72 ساعة** من علمهم به، بموجب المادة 33 من اللائحة العامة لحماية البيانات (GDPR). إذا كان من المحتمل أن يؤدي الخرق إلى خطر كبير على الأفراد المتضررين، فإن المادة 34 من اللائحة العامة لحماية البيانات تتطلب إخطارهم دون تأخير غير مبرر. يقوم مشغلو الأهمية الحيوية (OIV) ومشغلو الخدمات الأساسية (OSE) بالإضافة إلى ذلك بإخطار [ANSSI](https://www.ssi.gouv.fr/en/)؛ كان التحويل الكامل لتوجيه NIS2 إلى القانون الفرنسي لا يزال جاريًا في عام 2026.
### 4.1 قاعدة الـ 72 ساعة في اللائحة العامة لحماية البيانات (المادة 33)
بموجب [المادة 33 من اللائحة العامة لحماية البيانات](https://gdpr-info.eu/art-33-gdpr/)، يجب على المراقب إخطار CNIL بخرق البيانات الشخصية في **موعد لا يتجاوز 72 ساعة** بعد علمه به. إذا تأخر الإخطار، يجب على المراقب تقديم أسباب التأخير. يجب أن يصف الإخطار طبيعة الخرق وفئات الأفراد المتضررين وعددهم التقريبي والعواقب المحتملة والتدابير المتخذة أو المقترحة.
### 4.2 السلطة المختصة: CNIL
على عكس السلطات الإشرافية لحماية البيانات (DPAs) على مستوى الولاية والبالغ عددها 16 في ألمانيا، تمتلك فرنسا سلطة إشرافية وطنية واحدة: **اللجنة الوطنية للمعلوماتية والحريات (CNIL)**. تطبق CNIL اللائحة العامة لحماية البيانات على كل من المراقبين في القطاعين العام والخاص ولديها سلطة فرض غرامات إدارية تصل إلى 20 مليون يورو أو 4٪ من حجم الأعمال السنوي العالمي، أيهما أعلى. تُظهر العقوبات المجمعة الأخيرة ضد Free Mobile و Free (42 مليون يورو، منها 27 مليونًا ضد Free Mobile) و France Travail (5 ملايين يورو) أن CNIL قد انتقلت من التحذيرات إلى الإنفاذ العقابي.
### 4.3 الإبلاغ لـ ANSSI بالنسبة لـ OIV و OSE و NIS2
يجب على مشغلي الأهمية الحيوية (**OIV**) ومشغلي الخدمات الأساسية (**OSE**) إبلاغ [ANSSI](https://www.ssi.gouv.fr/en/)، الوكالة الوطنية الفرنسية للأمن السيبراني، بالحوادث السيبرانية الكبيرة. يوسع توجيه NIS2 التقارير الإلزامية لتشمل المزيد من القطاعات، بما في ذلك مزودي الخدمات الرقمية والتصنيع وإدارة النفايات. كان تحويله إلى القانون الفرنسي لا يزال جاريًا في عام 2026، وصرحت ANSSI بأنها ستتواصل طوال العملية؛ كما أصدرت المفوضية الأوروبية رأيًا مسببًا للتحويل غير المكتمل. بمجرد دخوله حيز التنفيذ، ستتبع التقارير جدولًا زمنيًا مرحليًا: **إنذار مبكر في غضون 24 ساعة، وإخطار كامل في غضون 72 ساعة** وتقرير نهائي في غضون شهر واحد.
### 4.4 الإخطار الفردي (المادة 34)
عندما يكون من المحتمل أن يؤدي الخرق إلى خطر كبير على حقوق وحريات الأفراد، تتطلب [المادة 34 من اللائحة العامة لحماية البيانات](https://gdpr-info.eu/art-34-gdpr/) إخطارًا مباشرًا للأشخاص المتضررين بلغة واضحة وبسيطة. أدت كل من حالات France Travail و Viamedis و Free و Cegedim Santé إلى التزامات المادة 34. يعد عدم الإبلاغ محفزًا شائعًا لعقوبات تنظيمية إضافية علاوة على الخرق الأساسي.
## 5. الاتجاهات في خروقات البيانات الفرنسية
تتكرر أربعة أنماط عبر الحالات العشر: تركيز بيانات المواطنين في [قطاع عام](https://www.corbado.com/passkeys-for-public-sector) عالي الرقمنة، واختراق الطرف الثالث وسلسلة التوريد كنقطة دخول مهيمنة، وحشو بيانات الاعتماد الذي يحول البوابات العامة الفرنسية إلى أهداف سهلة، ولجنة CNIL التي تلحق بالركب بسرعة في التنفيذ. إن فهم هذه الأنماط أكثر قابلية للتنفيذ من حفظ الحوادث الفردية.
### 5.1 رقمنة القطاع العام تخلق سطح هجوم على مستوى البلاد
تُظهر France Travail و OFII و FICOBA و Pass'Sport مدى تركيز بيانات المواطنين في عدد قليل من المنصات العامة. كان حساب مستشار واحد مخترق في Cap Emploi كافياً لكشف 43 مليون سجل؛ كان تكامل شريك واحد مسرب في Pass'Sport كافياً لكشف 3.5 ملايين أسرة. يؤدي اعتماد فرنسا على **FranceConnect** وتسجيلات الدخول المشتركة للخدمة العامة إلى تضخيم هذا الخطر: يمكن لكلمة مرور واحدة مخترقة مرتبطة برقم NIR أن تفتح العديد من الخدمات العامة في وقت واحد.
### 5.2 البائعون من الأطراف الثالثة يمثلون نقطة ضعف حرجة
تشترك Viamedis و Almerys و Cegedim Santé و Bouygues Telecom وحادثة France Travail MOVEit لعام 2023 في نفس السبب الجذري: اختراق طرف ثالث، وليس العلامة التجارية الأساسية. حتى المؤسسات التي لديها برامج أمان داخلية ناضجة تظل مكشوفة من خلال شبكات البائعين الخاصة بها. يعد نموذج [التأمين](https://www.corbado.com/passkeys-for-insurance) الصحي tiers-payant، حيث تتعامل مجموعة من المعالجين مع البيانات لعشرات الشركات المتبادلة، عرضة بشكل خاص لاختراقات نقطة الفشل الواحدة.
### 5.3 حشو بيانات الاعتماد (Credential Stuffing) يحول البوابات العامة إلى أهداف سهلة
أصبح حشو بيانات الاعتماد هجوم المتابعة الافتراضي بعد كل خرق فرنسي. في فبراير 2024، زعمت مجموعة القرصنة LulzSec اختراق **ما يصل إلى 600000 حساب CAF** بحتة من خلال إعادة استخدام كلمات المرور، دون أي خرق فني لـ caf.fr. كشف تسريب لاحق في أغسطس 2024 عن 60369 مجموعة تسجيل دخول CAF أخرى (NIR + كلمة مرور) في منتدى للقرصنة. طالما أن الخدمات العامة الفرنسية تقبل تسجيل الدخول بكلمة مرور، فإن كل خرق جديد في أي مكان في أوروبا يغذي هجمات حشو بيانات الاعتماد ضدها.
### 5.4 إنفاذ CNIL يلحق بالركب
اعتبارًا من يناير 2026، انتقلت CNIL من التحذيرات إلى الإنفاذ العقابي. في 13 يناير 2026، تم تغريم Free Mobile و Free بشكل مشترك **42 مليون يورو** (27 مليونًا ضد Free Mobile و 15 مليونًا ضد Free)، وتم تغريم France Travail **5 ملايين يورو** في 22 يناير 2026 بموجب المادة 32 من اللائحة العامة لحماية البيانات (الحد الأقصى القانوني للهيئة العامة هو 10 ملايين يورو). تاريخيًا، ظل متوسط غرامات CNIL أقل بكثير من حدود اللائحة العامة لحماية البيانات. بالاشتراك مع المجموعة المتنامية من مطالبات التعويضات على غرار الدعاوى الجماعية بموجب المادة 82، انتقلت فرنسا إلى نفس فئة التنفيذ مثل ألمانيا وهولندا وأيرلندا.
## 6. خاتمة
تحكي أكبر عشر اختراقات حديثة في فرنسا قصة متسقة: بيانات الاعتماد ووصول الطرف الثالث هي القواسم المشتركة. تعود حسابات مستشاري France Travail التي تعرضت للهندسة الاجتماعية، ومتخصصي الرعاية الصحية الذين تعرضوا للتصيد في Viamedis، والأداة الداخلية المخترقة في Free، وتكامل الشريك المسرب في Pass'Sport، والمورد الخارجي في Bouygues [Telecom](https://www.corbado.com/passkeys-for-telecom) إلى نفس الضعف الأساسي: البشر والبائعون الذين يصادقون بكلمات مرور ضد الأنظمة التي تحتفظ بعقود من بيانات المواطنين.
التدابير المضادة متسقة بنفس القدر: مصادقة مقاومة للتصيد الاحتيالي مثل مفاتيح المرور (passkeys)، وحوكمة وصول طرف ثالث صارمة، ومراقبة مستمرة للويب المظلم، والاستعداد لإبلاغ CNIL خلال 72 ساعة. مع قيام CNIL الآن بإصدار غرامات مكونة من ثمانية وتسعة أرقام، فإن المؤسسات الفرنسية التي تتعامل مع هذه الأمور كأولويات على مستوى مجلس الإدارة في عام 2026 ستتجنب كلاً من العقوبات التنظيمية والأضرار التي لحقت بالسمعة والتي حددت السنوات الثلاث الماضية من الخروقات الفرنسية.
## الأسئلة الشائعة
### ما هو خرق بيانات France Travail في عام 2024؟
في مارس 2024، كشف France Travail (Pôle Emploi سابقًا) و Cap Emploi عن أكبر خرق للبيانات في التاريخ الفرنسي. استخدم المهاجمون الهندسة الاجتماعية لاختطاف حسابات مستشاري Cap Emploi واستخرجوا البيانات الشخصية لما يصل إلى 43 مليون باحث عن عمل على مدار العشرين عامًا الماضية، بما في ذلك الأسماء وتواريخ الميلاد وأرقام الضمان الاجتماعي ومعرفات France Travail وتفاصيل الاتصال. في 22 يناير 2026، غرمت CNIL France Travail مبلغ 5 ملايين يورو بموجب المادة 32 من اللائحة العامة لحماية البيانات، حيث يبلغ الحد الأقصى القانوني للهيئة العامة 10 ملايين يورو.
### كيف يتم الإبلاغ عن خرق للبيانات في فرنسا؟
بموجب المادة 33 من اللائحة العامة لحماية البيانات، يجب على مراقبي البيانات الفرنسيين إخطار CNIL في غضون 72 ساعة من علمهم بحدوث خرق للبيانات الشخصية. إذا كان من المحتمل أن يؤدي الخرق إلى خطر كبير على الأفراد المتضررين، فإن المادة 34 تتطلب إخطارهم دون تأخير غير مبرر. يقوم مشغلو الأهمية الحيوية (OIV) ومشغلو الخدمات الأساسية (OSE) بإخطار ANSSI بموجب القانون الفرنسي الحالي؛ كان التحويل الكامل لتوجيه NIS2 إلى القانون الفرنسي لا يزال جاريًا في عام 2026.
### ما هي أكبر غرامة أصدرتها CNIL على الإطلاق بعد خرق للبيانات في فرنسا؟
في 13 يناير 2026، غرمت CNIL بالاشتراك شركة Free Mobile بـ 27 مليون يورو و Free بـ 15 مليون يورو (42 مليون يورو مجتمعة) لعدم كفاية الأمن مما ساهم في خرق عام 2024 كشف عن 24.6 مليون عقد، بما في ذلك 5.11 مليون رقم IBAN. هذه واحدة من أكبر عقوبات اللائحة العامة لحماية البيانات المجمعة التي صدرت في فرنسا على الإطلاق بسبب خرق للبيانات. تم تغريم France Travail 5 ملايين يورو في 22 يناير 2026 بموجب المادة 32.
### لماذا أصبحت فرنسا هدفًا رئيسيًا لخروقات البيانات؟
تجمع فرنسا بين قطاع عام عالي الرقمنة (France Travail و CAF و DGFiP و OFII) ونظام دفع رعاية صحية كثيف (Viamedis و Almerys و Cegedim) وثلاث شركات اتصالات كبرى تمتلك كل منها عشرات الملايين من سجلات المشتركين. يفسر النقص المزمن في الاستثمار في الأمن السيبراني مقارنة بالناتج المحلي الإجمالي، والاعتماد الكبير على منصات الطرف الثالث، وهجمات الهندسة الاجتماعية ضد المستشارين الذين يواجهون الجمهور، سبب تعرض أكثر من 145 مليون سجل فرنسي للخطر بين عامي 2024 و 2025.
### كيف تغذي خروقات البيانات الفرنسية هجمات حشو بيانات الاعتماد (credential stuffing)؟
تكشف الخروقات عن عناوين البريد الإلكتروني وأرقام الضمان الاجتماعي وغالبًا كلمات المرور التي يتم تداولها في منتديات الويب المظلم. يعيد المهاجمون تشغيل بيانات الاعتماد هذه ضد البنوك والخدمات العامة وتجار التجزئة، مستغلين إعادة استخدام كلمة المرور. أدى حادث CAF في فبراير 2024 إلى اختراق ما يصل إلى 600000 حساب بحتة من خلال حشو بيانات الاعتماد، دون أي خرق تقني لـ caf.fr، مما يوضح كيف تستمر الخروقات الفرنسية في تغذية الهجمات لفترة طويلة بعد الكشف عنها.