Éducation nationale : 243.000 agents touchés par un vol de données, adresses postales comprises

243.000 agents de l’Éducation nationale voient une partie de leurs données personnelles compromises après une intrusion informatique datée du 15 mars 2026. Les informations dérobées incluent notamment des adresses postales et des numéros de téléphone, un niveau de détail qui change la nature des risques, du simple spam à des tentatives d’escroquerie plus ciblées.

Le ministère explique que l’attaque a visé Compas, un logiciel de ressources humaines utilisé pour la gestion des stagiaires du premier et du second degré. L’intrusion a été détectée le 19 mars par le centre opérationnel de sécurité du ministère, avant une communication publique le 23 mars. Entre les deux, un point inquiète particulièrement, un échantillon des données a déjà circulé sur des sites de revente.

Le logiciel Compas ciblé le 15 mars 2026

L’attaque se concentre sur Compas, présenté comme un outil RH dédié au suivi des enseignants stagiaires du premier et du second degré. Dans les faits, ce type de logiciel agrège des informations administratives très concrètes, nécessaires pour affecter, suivre et encadrer. Quand un intrus y entre, il ne récupère pas un simple annuaire, il met la main sur des données qui décrivent des personnes, leur identité, leurs coordonnées, et une partie de leur situation.

Le ministère situe l’intrusion au 15 mars et sa détection au 19 mars en fin de journée. Quatre jours, c’est long à l’échelle d’un système d’information, mais c’est aussi typique de ce genre d’incident, l’accès initial peut passer sous les radars jusqu’à ce qu’un signal technique remonte. De ce fait, la question n’est pas seulement “qui est entré”, c’est aussi “qu’a-t-il eu le temps de faire” pendant cette fenêtre.

La communication officielle évoque des vérifications sur l’ensemble des systèmes pour éviter tout risque de propagation. Concrètement, cela veut dire qu’on ne traite pas l’incident comme un simple vol ponctuel, on cherche aussi d’éventuels rebonds vers d’autres briques informatiques. Le ministère indique avoir suspendu l’accès à Compas, une mesure classique, mais qui peut aussi perturber la gestion des stagiaires et le travail des équipes administratives.

Dans l’écosystème cyber, un détail compte, une entité se présentant sous le pseudonyme Hexdex a mis en ligne un échantillon des données sur des sites de revente. Ce n’est pas un élément anecdotique, c’est souvent le point de bascule entre une fuite “en interne” et une exploitation massive. Quand des extraits sont publiés, même partiellement, ils servent de preuve pour attirer des acheteurs et alimenter ensuite des campagnes d’escroquerie plus larges.

Adresses postales et téléphones dans les 243.000 dossiers

Le volume annoncé, 243.000 personnes, place l’affaire parmi les fuites les plus sensibles touchant une administration en France ces derniers mois. Les données concernées incluent noms, prénoms, adresses postales et numéros de téléphone. Ce cocktail est recherché, parce qu’il permet de passer du numérique au réel, un appel crédible, un courrier frauduleux, voire une visite au domicile dans les scénarios les plus intrusifs.

La fuite inclut aussi des informations sur des périodes d’absence, sans mention du motif. Même sans le motif, ce type de donnée peut être utilisé pour “contextualiser” une arnaque. Un escroc qui sait qu’une personne a été absente peut tenter un message du type “votre dossier d’absence doit être régularisé”, ou se faire passer pour un service RH. Dans ce genre de cas, la précision administrative donne une apparence de légitimité qui piège plus facilement.

Autre volet, les tuteurs des stagiaires sont aussi concernés, avec leurs noms, prénoms et des lignes de téléphone fixe professionnelles. Cela élargit le cercle des personnes exposées et multiplie les angles d’attaque. Un fraudeur peut viser un stagiaire en se faisant passer pour un tuteur, ou viser un tuteur en prétendant gérer un dossier de stagiaire. Dans les attaques d’ingénierie sociale, la relation hiérarchique ou pédagogique est un levier puissant.

Sur le terrain, les conséquences se traduisent souvent par des vagues d’appels et de messages, des tentatives de récupération de codes, ou des demandes de documents. Un agent peut recevoir un SMS qui imite une procédure interne, ou un appel “du rectorat” demandant de confirmer une adresse. La critique, c’est que la donnée la plus banale, l’adresse, devient une clé. Elle rassure la victime, “ils savent où j’habite, donc c’est sérieux”, et c’est exactement ce que recherchent les fraudeurs.

Détection le 19 mars, plainte à Paris et saisines Anssi-Cnil

Le ministère indique que son centre opérationnel de sécurité a repéré l’intrusion le 19 mars. Dans les procédures publiques, cette étape déclenche en général une chaîne de décisions, contenir, analyser, informer, puis signaler aux autorités compétentes. Ici, plusieurs actions sont mentionnées, une saisine de l’Anssi, une saisine de la Cnil et un dépôt de plainte en cours à Paris. Ce trio donne une idée de la gravité perçue.

L’Anssi intervient sur l’aspect technique et la sécurisation, la Cnil sur la protection des données et les obligations liées aux fuites. Dans une affaire où des adresses postales et des numéros sont concernés, la question n’est pas seulement l’origine de l’intrusion, c’est aussi la qualité des mesures de protection et la manière dont les personnes sont informées. La Cnil s’intéresse notamment à la nature des données, aux risques, et aux mesures prises pour limiter l’impact.

Le ministère précise que l’accès à Compas a été suspendu. C’est une mesure de confinement, mais elle a un coût opérationnel, surtout quand l’outil sert à gérer des stagiaires, des affectations, des suivis. Dans une administration, couper un outil peut déplacer la charge vers des solutions de contournement, tableurs, échanges par mail, procédures manuelles. Or ces contournements créent parfois de nouveaux risques, parce qu’ils réintroduisent des données sensibles dans des circuits moins maîtrisés.

Sur la temporalité, la communication publique intervient plusieurs jours après l’intrusion initiale. C’est un point qui alimente souvent la défiance, “pourquoi attendre”. L’administration répond en général qu’il faut qualifier l’incident avant d’alerter. Néanmoins, quand un échantillon est déjà en vente, le facteur temps devient central, chaque jour qui passe augmente la probabilité que les données soient copiées et recopiées. L’information tardive ne crée pas la fuite, mais elle peut compliquer la réaction des personnes exposées.

Hexdex revend un échantillon, le marché des données en embuscade

Le ministère évoque une entité se présentant sous le pseudonyme Hexdex, qui a mis en ligne un échantillon sur des sites de revente de données. Dans l’économie clandestine, publier un extrait sert à prouver que la marchandise existe, et à faire monter le prix. Les acheteurs ne cherchent pas toujours des “fichiers complets”, ils achètent parfois un segment, une région, une catégorie de personnels, ou même des listes pour alimenter des campagnes d’hameçonnage.

Le risque immédiat, c’est l’ingénierie sociale. Avec un nom, une adresse et un numéro, un escroc peut construire un scénario crédible, “je vous appelle suite à une mise à jour de votre dossier”, “un courrier recommandé est revenu”, “un justificatif manque”. Le but est d’obtenir un code, un RIB, un accès à une messagerie. Ce type de fraude ne nécessite pas de pirater davantage, il suffit d’exploiter la confiance et la fatigue des personnes, surtout quand elles sont sollicitées au quotidien.

Un autre risque, c’est le “rebond” vers l’environnement professionnel. Si les tuteurs ont des lignes fixes professionnelles exposées, un attaquant peut viser les établissements ou services en se faisant passer pour un interlocuteur légitime. Même sans mention d’emails dans les éléments cités, le téléphone suffit pour initier une chaîne, appeler un standard, demander un transfert, obtenir un nom de service, puis raffiner l’attaque. Dans les administrations, la politesse et la volonté d’aider peuvent devenir une faille.

Dans les discussions entre agents, une inquiétude revient souvent, la peur de recevoir un courrier à domicile, ou d’être ciblé parce qu’on travaille dans l’Éducation nationale. Un témoignage typique, “Marc”, gestionnaire dans un collège, résume cette angoisse, “on nous demande d’être vigilants, mais quand ton adresse circule, tu ne contrôles plus rien”. Ce n’est pas une panique irrationnelle, c’est le sentiment de perdre la maîtrise de sa vie privée, et c’est précisément ce qui rend ces fuites si sensibles.

Une série d’attaques visant des administrations depuis fin 2025

Cette fuite intervient dans un contexte de répétition. Quelques jours avant, le Secrétariat général de l’Enseignement catholique a annoncé une attaque visant une application de gestion, avec des données administratives de 1,5 million de personnes exposées. Le ministère précise que la base du Sgec et celle de Compas sont distinctes, ce qui évite l’idée d’un “super fichier” commun, mais ne change pas le constat, le secteur éducatif attire les attaquants.

Le phénomène dépasse l’éducation. Des fuites ont aussi touché le ministère de l’Intérieur et le ministère des Sports fin décembre, avec, dans ce second cas, des informations personnelles de près de 3,5 millions de personnes dévoilées. Cette accumulation montre une tendance, les administrations stockent des masses de données, et les attaquants cherchent des points d’entrée, parfois via des logiciels métiers moins visibles que les grands portails publics.

La comparaison est utile pour comprendre l’échelle. 243.000 agents, ce n’est pas “tout le ministère”, mais c’est suffisamment large pour toucher des académies partout en France et créer un bruit de fond durable. Dans une fuite à plusieurs millions, les victimes se sentent noyées dans la masse. Dans une fuite à quelques centaines de milliers, l’attaque paraît plus ciblée, et la crainte d’être exploité augmente. Les deux sont graves, mais la perception du risque n’est pas identique.

La nuance, c’est qu’annoncer des saisines et une plainte ne suffit pas à rassurer. Ce que les agents attendent, ce sont des consignes concrètes, comment repérer un faux appel, à qui signaler, quelles démarches faire si un courrier suspect arrive. La répétition des incidents pose aussi une question de fond, l’État investit dans la sécurité, mais la multiplication des outils, prestataires, applicatifs RH, multiplie mécaniquement les surfaces d’attaque. Et ça, personne ne peut le régler par une simple note interne.