Une cyberattaque a visé la Rennes Métropole et la Ville de Rennes, ce mercredi 10 juin 2026. Des données professionnelles de milliers d’agents ont été dérobées puis diffusées dans des espaces fréquentés par des cybercriminels. Les collectivités assurent toutefois qu’aucune donnée personnelle des habitants n’a été compromise lors de ce piratage.
L’affaire a émergé publiquement en fin d’après-midi sur le réseau social X. « Des données administratives d’agents ont diffusées par un cybercriminel sur le Amazon de la cybercriminalité », a confié le hacker éthique SaxX. « Elles proviendraient proviendraient de plusieurs exports internes Rennes Métropole ». Dans son message, il évoque près de 15 985 données administratives et alerte sur « des risques graves et réels vu le détail des annuaires et organigrammes très précis ».
Quelques heures plus tard, Rennes Métropole a confirmé l’existence d’une attaque informatique dans un communiqué. « Seules les données liées à son annuaire interne ont été volées », tient à préciser la collectivité. « Dès la découverte de l’incident, le service gestionnaire des systèmes d’information a immédiatement pris toutes les mesures nécessaires pour limiter l’impact de cette cyberattaque et pour faire la notification à la CNIL », précise le communiqué.
Des investigations sont actuellement menées afin d’identifier l’origine de l’attaque. « Aucune donnée personnelle des habitantes et des habitants de Rennes ou de la Métropole n’est concernée par cette cyberattaque ». Les informations compromises sont présentées comme des données professionnelles, non considérées comme sensibles, issues de l’organigramme interne et de l’annuaire de messagerie des agents. Parmi les éléments dérobés figurent notamment la civilité, le nom, le prénom, l’adresse e-mail professionnelle, les numéros de téléphone fixe et mobile professionnels, mais aussi la fonction, l’affectation, le rattachement hiérarchique, les assistants, le site de travail et certains identifiants techniques liés à la boîte mail professionnelle.
Au total, environ 5 500 agentes et agents de Rennes Métropole, de la Ville de Rennes et du CCAS ont été informés de la situation. Ils ont été appelés « à la plus grande vigilance », notamment face au risque de futures tentatives d’hameçonnage (phishing), facilitées par la précision des informations diffusées. Rennes Métropole annonce enfin qu’une plainte va être déposée. L’enquête devra désormais déterminer l’origine exacte de cette fuite et les modalités de l’intrusion informatique.
