Cyberattaque à l’Éducation nationale: 243.000 agents visés, 4 questions sur le vol de données

243.000 agents de l’Éducation nationale, principalement des enseignants, voient leurs données personnelles exposées après une cyberattaque détectée en mars 2026. Le ministère a confirmé une intrusion survenue le 15 mars dans son système RH Compas, avec exfiltration de noms, prénoms, adresses postales, numéros de téléphone et périodes d’absence, sans mention du motif.

Le plus inquiétant, ce n’est pas seulement la fuite, c’est ce qu’on peut en faire derrière. Quand ton adresse et ton numéro circulent, tu passes du simple profil administratif à une cible exploitable pour du phishing, de l’usurpation d’identité ou des intimidations. Et là, la question n’est pas théorique, elle est très concrète pour des personnels déjà exposés dans leur métier.

Que s’est-il passé le 15 mars sur Compas?

L’attaque vise Compas, un outil de ressources humaines utilisé par le ministère pour gérer des agents, notamment des stagiaires du premier et du second degré. L’accès frauduleux a eu lieu le 15 mars 2026, puis l’incident a été détecté quelques jours plus tard par les équipes de sécurité du ministère. Entre les deux, l’attaquant a eu le temps d’exfiltrer un volume conséquent de données.

Ce point compte, parce qu’une intrusion qui dure plusieurs jours laisse souvent le temps de chercher, trier, compresser et sortir des fichiers sans déclencher immédiatement d’alerte. Un spécialiste de la réponse à incident, Marc, consultant cyber, résume le mécanisme typique, quand tu as un accès valide, tu te fonds dans le trafic normal, tu évites les actions bruyantes, et tu sors les données par petits paquets.

Selon les éléments communiqués, l’intrusion serait passée par l’usurpation d’un compte externe. Dit autrement, pas besoin de casser une porte blindée si tu récupères la clé d’un utilisateur. C’est un scénario classique, vol d’identifiants, mot de passe réutilisé, ou hameçonnage bien ciblé. Ce n’est pas forcément sophistiqué, mais c’est souvent redoutablement efficace.

Le ministère a suspendu l’accès à Compas et lancé des vérifications sur l’ensemble de ses systèmes, avec l’objectif affiché de prévenir toute propagation. Il a aussi saisi l’Anssi et la Cnil, et une procédure de plainte est engagée à Paris. Ce volet administratif peut sembler lointain, mais il conditionne la suite, enquête, traçage, et obligations d’information.

Quelles données de 243.000 agents ont été exfiltrées?

Le volume annoncé est de 243.000 agents, sur tout le territoire. Les informations concernées sont très concrètes, nom, prénom, adresse postale, numéro de téléphone, et périodes d’absence sans mention du motif. On est sur des données qui, prises séparément, paraissent parfois banales, mais combinées, elles deviennent un kit complet pour cibler une personne dans la vraie vie.

Le ministère a aussi précisé que figurent dans l’exfiltration des éléments liés à l’encadrement, comme l’identité et des numéros professionnels de tuteurs, et, selon les précisions rapportées, des lignes fixes professionnelles de tuteurs. Même si ce ne sont pas des coordonnées privées, ça ouvre la porte à des appels frauduleux crédibles, Bonjour, je vous appelle du rectorat au sujet de votre stagiaire, le genre de phrase qui fait baisser la garde.

Point important, aucune donnée de santé n’est annoncée dans le périmètre, et les périodes d’absence ne mentionnent pas le motif. C’est une nuance utile, mais elle ne doit pas servir d’écran de fumée, parce que l’adresse et le téléphone suffisent à déclencher des scénarios de fraude. Marc insiste, un fichier d’adresses, c’est la base pour du social engineering, tu personnalises, tu localises, tu mets la pression.

Un échantillon des données a été mis en ligne sur des sites de revente, par une entité se présentant sous le pseudonyme Hexdex. Là, on change d’échelle, parce qu’un extrait public sert de preuve pour vendre le reste, et accélère la diffusion. Même si tout le fichier ne circule pas partout, quelques milliers de lignes peuvent suffire à alimenter des campagnes d’escroquerie très ciblées.

Quels risques concrets pour les enseignants et personnels?

Le risque numéro un, c’est le phishing ciblé. Avec un nom, une adresse et un numéro, l’attaquant peut envoyer un SMS ou un mail qui colle au quotidien, fausse mise à jour de dossier RH, convocation, message de support Compas. Et si la personne clique, on passe du vol de données au vol de compte, puis au rebond vers d’autres services, messagerie, intranet, outils académiques.

Deuxième risque, l’usurpation d’identité. Une adresse postale et des coordonnées peuvent servir à ouvrir des comptes, détourner des livraisons, ou tenter des arnaques au faux conseiller. Ce n’est pas automatique, mais le coût d’attaque baisse, parce que la donnée est déjà structurée. Marc le formule de façon sèche, une base propre, c’est du temps gagné, et le temps gagné, c’est plus de victimes.

Troisième risque, plus sensible dans le contexte scolaire, la localisation et la pression. Des enseignants l’expriment clairement, la crainte que quelqu’un puisse retrouver où ils habitent. Même si la majorité des usages seront frauduleux et non violents, l’idée qu’une adresse circule change le sentiment de sécurité. Pour certains personnels, notamment en zones tendues, c’est une charge mentale supplémentaire.

Il faut aussi parler du risque d’arnaques hybrides, un SMS qui renvoie vers un appel, puis un faux interlocuteur qui se présente comme un service administratif. Les coordonnées des tuteurs et des stagiaires rendent crédibles des scénarios de manipulation. Et là, petite critique nécessaire, l’État communique souvent après coup, mais beaucoup moins sur la manière dont les personnels peuvent vérifier un message, un numéro officiel unique, un protocole clair, des consignes simples.

Pourquoi les ministères restent vulnérables aux comptes compromis?

Dans cette affaire, l’hypothèse centrale, c’est l’usurpation d’un compte externe. C’est un rappel brutal, la sécurité ne se joue pas seulement sur des pare-feu, elle se joue sur l’identité numérique. Un compte partenaire, prestataire, ou utilisateur externe, c’est parfois un point d’entrée moins surveillé, avec des droits suffisants pour accéder à des données sensibles.

Le fait que l’intrusion n’ait été détectée que le 19 mars, soit plusieurs jours après le 15, pose la question de la détection. Les centres opérationnels de sécurité cherchent des signaux, connexions anormales, volumes d’export, horaires inhabituels. Mais un attaquant prudent peut imiter des comportements légitimes. Et si l’outil n’est pas conçu pour limiter l’extraction, tu peux sortir beaucoup sans déclencher d’alarme immédiate.

Ce cas arrive dans un contexte où d’autres institutions publiques françaises ont déjà été touchées récemment, ce qui alimente l’idée d’une fragilité structurelle. Il ne faut pas tout mettre sur le dos des équipes techniques, les systèmes RH sont souvent anciens, interconnectés, et soumis à des contraintes métier. Mais il y a une nuance qui dérange, la sécurité est encore trop souvent traitée comme un projet, pas comme une condition d’exploitation quotidienne.

Le ministère a saisi l’Anssi et la Cnil, et a suspendu Compas, signe que l’incident est pris au sérieux. La question, pour les agents, c’est ce qui change après. Renforcement de l’authentification, limitation des exports, journalisation, revues de droits, audits des comptes externes. Sans ces mesures, on risque de revivre le même scénario, même si l’évolution reste incertaine sur le calendrier et l’ampleur des correctifs.

Que peuvent faire les agents touchés dès maintenant?

Premier réflexe, considérer que les données divulguées peuvent servir à te contacter. Donc, méfiance renforcée sur tout message qui évoque Compas, une régularisation, un remboursement, ou une urgence administrative. Si un SMS te demande de confirmer une info, tu ne cliques pas, tu passes par un canal officiel, site institutionnel connu, standard, ou contact déjà enregistré.

Deuxième réflexe, sécuriser tes comptes personnels, parce que les attaquants mélangent souvent vie pro et vie privée. Changer les mots de passe réutilisés, activer la double authentification quand elle existe, et surveiller les tentatives de connexion. Marc conseille une règle simple, si tu dois changer un seul mot de passe, commence par ta messagerie, parce que c’est la clé de réinitialisation de tout le reste.

Troisième réflexe, surveiller les signaux faibles, appels inattendus, courrier bizarre, création de compte que tu n’as pas demandée, ou relances de paiement. Avec une adresse postale, certains escrocs tentent des envois physiques pour paraître légitimes. Là, garder des preuves, captures d’écran, numéros appelants, enveloppes, peut aider si une démarche doit être faite ensuite.

Enfin, il y a la dimension collective, remonter les tentatives au bon endroit. Les consignes internes varient, mais l’idée reste la même, signaler à sa hiérarchie, à l’assistance informatique, et suivre les procédures indiquées par l’administration. Et si tu reçois un message trop bien fait, tu le transfères pour analyse, parce que c’est souvent ce qui permet d’identifier une campagne. La réponse ne dépend pas seulement des agents, elle dépend aussi de la capacité de l’institution à donner des consignes claires, rapides, et à tenir la durée.