243 000 noms, adresses postales et numéros de téléphone d’agents de l’Éducation nationale circulent depuis le 15 mars sur des plateformes de revente de données volées. Le ministère ne l’a découvert que quatre jours plus tard. Et ce n’est pas la seule brèche : le même week-end, l’enseignement catholique a annoncé une attaque distincte touchant 1,5 million de personnes. En huit jours, le système éducatif français a exposé les données personnelles de près de 1,75 million d’individus.
La base « Compas » infiltrée sans bruit
La cible de la première attaque est un logiciel que peu de gens connaissent en dehors de l’administration. « Compas » sert à gérer les ressources humaines des enseignants stagiaires, du primaire au lycée, sur l’ensemble du territoire. Noms, prénoms, adresses personnelles, numéros de téléphone et périodes d’absence (sans mention du motif) y sont enregistrés. Les coordonnées professionnelles des tuteurs de ces stagiaires figurent aussi dans le fichier compromis, a précisé le ministère à l’AFP.
Un compte opérant sous le pseudonyme « Hexdex » a commencé à diffuser des échantillons du butin sur des forums spécialisés. Le prix du lot complet n’a pas filtré, mais les bases contenant adresses postales et téléphones se monnayent généralement entre quelques centaines et plusieurs milliers d’euros sur ces marchés parallèles, selon le volume et la fraîcheur des données.
Le ministère a suspendu l’accès à Compas et lancé ce qu’il décrit comme « des vérifications sur l’ensemble des systèmes d’information » pour circonscrire l’attaque. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Commission nationale de l’informatique et des libertés (CNIL) ont été saisies. Un dépôt de plainte auprès du parquet de Paris est en cours.
Quatre jours entre l’intrusion et la détection
La chronologie mérite qu’on s’y arrête. L’intrusion a eu lieu le 15 mars. Le centre opérationnel de sécurité du ministère ne l’a repérée que le 19, en fin de journée. Pendant ces quatre jours, l’attaquant a pu extraire les données sans déclencher d’alerte.
Comment un intrus a-t-il pu opérer aussi longtemps dans un système ministériel sans être repéré ? C’est l’une des questions centrales que devra élucider l’enquête de l’ANSSI. Ce délai reste toutefois inférieur à la moyenne nationale : en 2023, le temps médian de détection d’une intrusion dans les systèmes publics français se comptait encore en semaines, selon les données de l’agence. Quatre jours, c’est « mieux » que la moyenne. Mais quand le fichier contient les adresses personnelles de 243 000 fonctionnaires, chaque heure d’avance offerte à l’attaquant compte.
L’enseignement catholique touché le même week-end
Le Secrétariat général de l’Enseignement catholique (SGEC) a révélé samedi 22 mars avoir subi, lui aussi, une cyberattaque. L’intrusion a ciblé l’application qui gère les établissements du premier degré sous contrat avec l’État. Résultat : les données administratives de 1,5 million de personnes, élèves, familles et personnels confondus, ont été compromises, rapporte Le Parisien.
Le ministère s’est empressé de préciser que les deux bases piratées « sont deux bases distinctes ». Compas et le système du SGEC ne partagent ni serveurs, ni architecture. En l’état, rien ne relie les deux attaques. Mais le résultat est le même : en l’espace d’une semaine, deux brèches séparées ont frappé le même secteur, celui de l’éducation, et mis à nu les informations personnelles de près de 1,75 million de personnes.
La coïncidence n’est peut-être pas un hasard. L’éducation gère l’un des plus gros systèmes d’information de l’État, avec plus d’un million d’agents et 12 millions d’élèves. Les logiciels de gestion, souvent développés en interne, couvrent la paie, les absences, les affectations et les évaluations. En 2023, la Cour des comptes avait pointé l’obsolescence technique de plusieurs de ces outils et leur manque de maintenance en matière de sécurité informatique.
Un compteur national qui s’emballe
Ces deux incidents ne sont pas isolés. Le rapport annuel de la CNIL, publié en avril 2025, recense 5 629 notifications de violations de données personnelles pour l’année 2024, soit 20 % de plus qu’en 2023. Le chiffre le plus alarmant concerne l’échelle des fuites : le nombre de violations touchant plus d’un million de personnes a doublé en un an.
L’hôpital, l’éducation et les collectivités territoriales forment le trio le plus visé en France, selon l’ANSSI. Le dénominateur commun : des budgets informatiques limités, des systèmes anciens et des bases de données massives. La fuite Cegedim, révélée en février, avait déjà exposé les données médicales de 15 millions de Français. En janvier, c’est le fichier FICOBA de Bercy qui avait livré 1,2 million de comptes bancaires. La série ne s’arrête pas.
En 2024, la CNIL a prononcé 87 sanctions pour un montant total de plus de 55 millions d’euros d’amendes. L’administration publique n’échappe pas aux contrôles, mais les sanctions financières restent rares contre l’État lui-même : la CNIL préfère en général les mises en demeure et les injonctions de mise en conformité.
Ce que risquent les 243 000 enseignants fichés
Pour les agents dont les données circulent, les conséquences ne sont pas théoriques. L’association d’un nom complet, d’une adresse postale et d’un numéro de téléphone constitue un kit idéal pour le hameçonnage ciblé. Un appel ou un SMS imitant l’administration, la mutuelle ou la banque de la victime gagne en crédibilité quand l’interlocuteur connaît le nom, l’adresse et parfois même les périodes d’absence de sa cible.
Les périodes d’absence représentent un risque supplémentaire peu évoqué. Savoir qu’un enseignant a été absent entre telle et telle date, combiné à son adresse personnelle, peut intéresser des réseaux de cambriolage. Le ministère n’a pas précisé si les données volées couvrent des absences récentes ou uniquement des historiques anciens.
Les personnes touchées n’ont, à ce jour, reçu aucune notification individuelle. Le Règlement général sur la protection des données (RGPD) impose pourtant une information directe « dans les meilleurs délais » lorsqu’une violation présente un risque élevé pour les droits et libertés des personnes concernées. La CNIL sera attentive au respect de cette obligation, a-t-elle indiqué dans un communiqué.
En attendant, les réflexes de protection restent les mêmes pour toute personne potentiellement concernée : redoubler de vigilance face aux sollicitations par téléphone ou courriel, ne jamais communiquer d’identifiants à un interlocuteur non vérifié, et surveiller d’éventuels mouvements inhabituels sur ses comptes. L’ANSSI, de son côté, doit désormais identifier la faille exploitée et déterminer si l’attaquant a pu atteindre d’autres systèmes du ministère. Les conclusions de son enquête technique seront déterminantes pour évaluer l’ampleur réelle de la brèche.
