Piratage du logiciel Compas: les données de 243 000 agents exposées, l’Éducation suspend l’accès

243 000 agents de l’Éducation nationale, majoritairement des enseignants, voient leurs données personnelles compromises après le piratage du logiciel de ressources humaines Compas. L’attaque, datée du 15 mars 2026 selon le ministère, a conduit à la mise en ligne d’un échantillon d’informations sur des sites de revente de données. On parle de noms, prénoms, adresses postales, numéros de téléphone et périodes d’absence, sans mention du motif.

Le ministère indique avoir suspendu l’accès à l’outil et engagé des vérifications sur l’ensemble de ses systèmes d’information pour éviter toute propagation. L’ANSSI et la CNIL ont été saisies, et un dépôt de plainte est en cours à Paris. Dans les établissements, la nouvelle inquiète, parce qu’une adresse et un numéro, ce n’est pas abstrait, ça peut vite devenir du démarchage, de l’usurpation, ou une pression ciblée.

Le ministère détaille la fuite liée au logiciel Compas

Le ministère a confirmé que la fuite concerne la base Compas, un logiciel de gestion RH utilisé pour suivre des enseignants stagiaires du premier et du second degré. Les données volées portent sur environ 243 000 agents, avec un périmètre national. Dans le lot, figurent aussi des informations liées à l’encadrement, puisque les tuteurs des stagiaires apparaissent via leurs noms, prénoms et lignes fixes professionnelles.

La nature exacte des données exposées est précisée, noms, prénoms, adresses postales, numéros de téléphone, et périodes d’absence, sans le motif. Dit comme ça, certains vont te dire, “bon, ce n’est pas une fuite bancaire”. Sauf qu’une adresse et un téléphone, c’est une clé d’entrée pour des arnaques très concrètes, et une période d’absence, c’est un indice exploitable pour cibler quelqu’un au mauvais moment.

Un échantillon des informations a été mis en ligne sur des sites de revente de données. Une entité se présentant sous le pseudonyme Hexdex est citée dans les informations rendues publiques. À ce stade, le ministère ne communique pas sur l’étendue exacte de la diffusion, ni sur le volume téléchargé par des tiers. C’est un point important, parce que la mise en ligne d’un “échantillon” sert souvent à prouver la possession du reste.

Sur le terrain, l’annonce a surtout un effet immédiat, la perte de confiance dans l’outillage administratif. Un gestionnaire peut continuer à faire tourner l’établissement, mais quand l’outil RH devient un point faible, tout le monde se demande ce qui a été fait pour cloisonner les accès. Et là, nuance nécessaire, suspendre l’accès est une mesure de protection, mais elle peut aussi bloquer des démarches courantes si aucune alternative n’est prête.

Les données compromises exposent enseignants stagiaires et tuteurs

La fuite touche principalement des enseignants, et plus précisément ceux présents dans la base liée à la gestion des stagiaires. Cela compte parce que les stagiaires sont déjà dans une phase où ils bougent, changent d’affectation, et doivent gérer beaucoup de démarches. Avec des données comme l’adresse postale et le numéro de téléphone, le risque de démarchage agressif augmente mécaniquement, surtout si les listes circulent dans des cercles d’escroquerie.

Les périodes d’absence, même sans motif, peuvent alimenter des scénarios d’arnaque. Exemple simple, un appel qui se fait passer pour un service administratif, “on a vu une absence, il faut régulariser”. Ou une tentative de phishing plus ciblée, où l’attaquant montre qu’il “sait” quelque chose. Dans le monde de la cybermalveillance, ce type de détail sert à rendre un message crédible, et c’est souvent ce qui fait tomber la garde.

Les tuteurs sont aussi concernés, avec des informations professionnelles, notamment les lignes fixes. Là encore, on pourrait minimiser, puisque ce sont des coordonnées de travail. Mais dans un collège ou une école, une ligne fixe, c’est un point d’entrée pour obtenir d’autres infos par ingénierie sociale, le nom d’un responsable, un créneau de réunion, une adresse mail. Un expert en cybersécurité, interrogé dans ce genre de situation, résume souvent ça par une formule, “une fuite de contacts, c’est une fuite de portes d’entrée”.

Dans les salles des profs, la question qui revient est très terre à terre, “qu’est-ce que je dois faire maintenant?”. On ne parle pas d’un incident lointain, on parle de gens qui peuvent recevoir des appels, des SMS, voire des courriers. Un enseignant stagiaire, appelons-le Marc, raconte typiquement qu’il a déjà reçu des tentatives d’arnaque au faux conseiller bancaire, et qu’avec cette fuite, il s’attend à une hausse. C’est ce côté quotidien qui rend l’affaire sensible.

Suspension de Compas, saisines ANSSI et CNIL, plainte à Paris

La réponse institutionnelle se structure autour de trois axes, stopper l’hémorragie, comprendre l’intrusion, et encadrer la suite. L’accès à Compas a été suspendu, et des vérifications ont été lancées sur l’ensemble des systèmes d’information du ministère pour prévenir tout risque de propagation. C’est la mesure la plus visible, et c’est souvent la première, couper l’accès pour éviter que l’attaquant ne continue à exfiltrer.

Le ministère a saisi l’ANSSI et la CNIL. L’ANSSI intervient sur la dimension technique et la gestion de crise, la CNIL sur la conformité et la protection des données personnelles. Dans une affaire de ce type, la CNIL va regarder la nature des données, les mesures de sécurité attendues, et la manière dont les personnes concernées sont informées. Le sujet, c’est la prévention, mais aussi la traçabilité, qui a accès, comment, et avec quel contrôle.

Un dépôt de plainte est en cours à Paris. Sur le papier, c’est indispensable, parce que ça enclenche un volet judiciaire. Dans les faits, beaucoup d’agents restent sceptiques, parce que les enquêtes cyber sont longues, et que l’identification des auteurs est difficile quand les infrastructures sont à l’étranger ou rebondissent sur plusieurs relais. C’est une critique qu’on entend souvent, la plainte est nécessaire, mais elle ne “répare” pas les données qui circulent déjà.

Le ministère insiste aussi sur un point de contexte, la fuite de Compas est distincte d’une autre attaque annoncée dans le même mois, celle visant une application de gestion de l’enseignement catholique, avec des données administratives de 1,5 million de personnes. Deux bases différentes, deux incidents distincts. Pour le public, la nuance est importante, parce que sinon tout se mélange et la confiance s’érode encore plus, mais elle n’efface pas le fait qu’en quelques jours, le secteur éducatif a encaissé plusieurs alertes de sécurité.

Les risques concrets: démarchage, usurpation et ciblage par ingénierie sociale

Quand des noms, adresses et téléphones sortent, le premier effet, c’est le démarchage. Appels, SMS, mails, parfois des courriers. Les escrocs achètent des bases parce qu’elles sont “fraîches” et segmentées, ici, des agents de l’Éducation nationale. Ça permet de construire des scénarios crédibles, “je vous appelle pour votre dossier de mutation”, “pour une régularisation”, “pour un remboursement”. Plus la cible est précise, plus le taux de réussite grimpe.

Deuxième risque, l’usurpation d’identité. Une adresse et un numéro, combinés à un nom et un prénom, suffisent parfois à passer des filtres basiques dans des services clients, ou à ouvrir des démarches frauduleuses. On n’est pas sur des numéros de sécurité sociale, le ministère précise qu’il ne s’agit pas de données de ce type, mais l’usurpation ne commence pas toujours par le plus sensible. Elle commence souvent par une accumulation d’indices, puis un appel bien préparé.

Troisième risque, le ciblage par ingénierie sociale. Là, les périodes d’absence entrent en jeu, parce qu’elles peuvent permettre de choisir le bon moment. Un attaquant peut viser une personne en arrêt, ou en absence, avec un message “urgent” qui joue sur la pression. Dans un établissement, ça peut aussi se traduire par des tentatives de manipulation via le standard, “la personne est absente, je dois joindre quelqu’un d’autre”. C’est banal, et c’est pour ça que ça marche.

Il y a aussi un risque moins discuté, la pression individuelle. Un agent dont l’adresse circule peut craindre d’être contacté à domicile, ou de voir sa famille exposée à des sollicitations. Dans certains contextes, le fait d’être enseignant peut déjà attirer des tensions. Là, on ne parle pas de spéculation, on parle d’un principe simple, plus une donnée circule, plus elle peut être détournée. Et quand le ministère parle de “sites de revente”, ça signifie que la diffusion est pensée comme un marché.

Une série d’attaques qui fragilise la confiance dans le numérique éducatif

L’incident Compas s’inscrit dans une séquence où l’éducation apparaît comme une cible récurrente. Le même mois, l’enseignement catholique a annoncé une attaque sur une application de gestion du premier degré, avec des données administratives de 1,5 million de personnes, même si le ministère précise que les bases sont distinctes. Pour les familles et les personnels, ce qui compte, c’est la répétition, et la sensation que les systèmes éducatifs sont devenus un terrain de chasse.

Ce qui fragilise la confiance, ce n’est pas seulement l’attaque, c’est aussi la dépendance aux outils. Quand l’accès à Compas est suspendu, il faut continuer à gérer des situations, suivre des stagiaires, organiser des remplacements, traiter des absences. Dans la réalité, ça se reporte sur des procédures manuelles, des fichiers locaux, des échanges par mail. Et là, critique nécessaire, on crée parfois de nouveaux risques si on bricole dans l’urgence sans cadre clair.

La question de fond, c’est la gouvernance de la donnée. Qui a besoin d’accéder à quoi, pendant combien de temps, et avec quels contrôles? Les outils RH agrègent des informations utiles, mais ils concentrent aussi des données personnelles à grande échelle, ce qui en fait des cibles. Un spécialiste du secteur public, dans ce type de crise, rappelle souvent que “la sécurité n’est pas un produit, c’est une organisation”, et que les comptes, les droits et la surveillance comptent autant que la technologie.

Pour les agents concernés, l’attente est double, être informés clairement, et voir des mesures durables, pas seulement une réaction. Les saisines de l’ANSSI et de la CNIL, la plainte, la suspension et les vérifications, tout ça répond à l’urgence. Mais la suite se jouera sur la capacité à restaurer la confiance, avec des procédures plus strictes, des alertes mieux gérées, et des outils qui ne transforment pas chaque base RH en point de vulnérabilité majeur pour des centaines de milliers de personnes.