Skip to content
Retour au blog
fuites-donnéescybersécuritédonnées-personnellesFrance

Éducation nationale : les données personnelles de 243 000 agents dans la nature après le piratage de COMPAS

Le 15 mars 2026, un pirate a accédé au système RH COMPAS du ministère de l'Éducation nationale via un compte compromis. Noms, adresses postales, téléphones de 243 000 enseignants et agents ont été exfiltrés puis mis en vente. Retour sur les faits, les failles, et ce que les personnels concernés doivent savoir.

Thomas Ferreira13 min de lecture

Le 23 mars 2026, à 22 heures, le ministère de l'Éducation nationale publie un communiqué de presse. Le ton est mesuré, les formulations prudentes. Derrière le langage institutionnel, un fait : les données personnelles de 243 000 agents — noms, adresses postales, numéros de téléphone — ont été extraites d'un système interne et mises en vente sur des forums spécialisés.

L'intrusion remonte au 15 mars. La détection au 19 mars. La communication publique au 23. Huit jours entre le vol et l'annonce. Pour les 243 000 personnes concernées, c'est huit jours pendant lesquels leurs données circulaient déjà sans qu'elles le sachent.

Le système COMPAS : une base RH sensible et méconnue

Ce que contient COMPAS

COMPAS — pour COMPétences, Accompagnement et Suivi de l'entrée dans le métier — est une application de gestion des ressources humaines utilisée par le ministère de l'Éducation nationale. Sa fonction : suivre les enseignants stagiaires du premier et du second degré, depuis leur prise de poste jusqu'à leur titularisation.

Le système contient les informations administratives de chaque stagiaire : identité, coordonnées personnelles, affectation, périodes d'absence, ainsi que les coordonnées de leur tuteur. C'est un outil de gestion interne, utilisé par les services académiques sur l'ensemble du territoire.

Pourquoi 243 000 personnes et pas seulement les stagiaires actuels

Le chiffre de 243 000 agents surprend quand on sait que l'Éducation nationale recrute entre 20 000 et 30 000 stagiaires par an. L'explication est simple : COMPAS conservait les dossiers des dix dernières années. Des enseignants titulaires depuis des années, qui n'avaient aucune raison de savoir que leurs données de stagiaire étaient encore stockées, se retrouvent exposés.

Le ministère emploie environ 1,2 million d'agents au total. Ce sont donc environ 20 % de ses effectifs qui sont touchés, concentrés sur les personnes recrutées au cours de la dernière décennie.

Comment l'attaque s'est déroulée

Un compte externe compromis

L'attaquant n'a pas exploité une faille logicielle. Il n'a pas forcé un pare-feu ni injecté du code malveillant. Il s'est connecté au système COMPAS avec des identifiants valides, ceux d'un compte externe disposant d'un accès légitime à la plateforme.

Selon les premières analyses relayées par plusieurs médias spécialisés, ces identifiants ont probablement été obtenus par phishing, par réutilisation de mot de passe (credential stuffing) ou via une fuite de données antérieure. Le scénario est banal. Il est aussi redoutablement efficace : un accès réalisé avec des identifiants légitimes ressemble en tous points à une connexion normale.

Quatre jours sans détection

L'intrusion a eu lieu le 15 mars 2026. Le centre opérationnel de sécurité des systèmes d'information du ministère (COSSIM) ne l'a identifiée que le 19 mars en fin de journée. Pendant quatre jours, l'attaquant a eu le temps d'explorer la base et d'exfiltrer les données.

Ce délai de quatre jours pose une question directe : les systèmes de surveillance du ministère sont-ils capables de repérer un accès anormal lorsqu'il se présente sous une identité légitime ? L'absence apparente d'alertes sur le volume ou le comportement des requêtes suggère des lacunes dans la détection des signaux faibles.

Mise en vente sous le pseudonyme « Hexdex »

Un échantillon des données volées a été mis en vente sur des forums de revente de données par un individu opérant sous le pseudonyme « Hexdex ». La publication de cet échantillon a permis de confirmer l'ampleur et l'authenticité de la fuite.

Ce qui a fuité — et ce qui n'a pas fuité

Données exposées

Pour chacun des 243 000 agents concernés :

  • Nom et prénom
  • Adresse postale personnelle
  • Numéro de téléphone
  • Périodes d'absence (sans mention du motif)

Pour les tuteurs de stagiaires :

  • Nom et prénom
  • Numéro de téléphone fixe professionnel

Données non concernées

Le ministère a précisé que la fuite ne contient pas de données de santé, de numéros de Sécurité sociale, de coordonnées bancaires ni d'adresses email.

Pourquoi des adresses postales, c'est grave

La tentation est de relativiser : « pas de RIB, pas de numéro de Sécu, ce n'est pas si dramatique ». C'est une erreur.

Le phishing sort de l'écran

Une adresse postale ouvre un canal d'attaque que l'email ne permet pas : le courrier physique. Un document officiel arrivant par La Poste, au nom du destinataire, à sa bonne adresse, avec un en-tête crédible du rectorat ou de la mutuelle — le taux de méfiance est infiniment plus bas que face à un email. Les arnaques par courrier sont en forte hausse en France, et la fuite COMPAS fournit une liste prête à l'emploi de 243 000 adresses vérifiées de fonctionnaires.

Le croisement avec d'autres fuites

Un attaquant qui dispose du nom, de l'adresse et du numéro de téléphone d'un enseignant peut croiser ces informations avec d'autres bases volées. La France a connu des fuites massives ces derniers mois : Free Mobile (19 millions), France Travail (43 millions), SFR, Boulanger, URSSAF. Il est probable qu'une partie des 243 000 agents figurent déjà dans l'une de ces bases. Le croisement permet de construire un profil complet : adresse + email + employeur + date de naissance + IBAN. À ce stade, l'usurpation d'identité devient un exercice de routine.

Des appels ciblés très crédibles

Avec un nom et un numéro de téléphone, un attaquant peut appeler un enseignant en se présentant comme le service informatique de l'académie, la MGEN, ou le rectorat. « Bonjour, nous vous contactons suite à l'incident de sécurité sur COMPAS. Pour vérifier que vos coordonnées n'ont pas été modifiées, pouvez-vous nous confirmer votre date de naissance et votre numéro de Sécurité sociale ? » Le piège se referme.

La question de la conservation des données

Dix ans de données pour un suivi de stage

Le SNES-FSU, premier syndicat du second degré, a pointé un problème de fond : pourquoi COMPAS conservait-il les données d'enseignants stagiaires pendant dix ans, alors que la plupart sont titularisés au bout d'un an ?

Le RGPD impose un principe de minimisation : les données personnelles ne doivent être conservées que pendant la durée nécessaire à la finalité du traitement. Un outil de suivi de stage n'a pas vocation à stocker indéfiniment les coordonnées de personnes dont le stage est terminé depuis des années.

Le syndicat a rappelé que la CNIL fixe généralement à cinq ans la durée maximale de conservation des données RH courantes. Si COMPAS avait appliqué cette règle, le nombre de personnes touchées aurait été réduit de moitié, voire davantage.

Un amplificateur de dégâts

La conservation excessive de données n'est pas un problème abstrait de conformité réglementaire. C'est un amplificateur mécanique de l'impact des fuites. Chaque dossier conservé sans nécessité est un dossier de plus qui sera volé en cas d'intrusion. Stocker les données de dix ans de stagiaires dans un système accessible depuis l'extérieur, c'est transformer un incident de sécurité en fuite massive.

La réponse du ministère

Ce qui a été fait

Le ministère a pris les mesures attendues après la découverte de l'intrusion :

  • Suspension de l'accès à COMPAS pour couper l'accès à l'attaquant
  • Notification à l'ANSSI (Agence nationale de la sécurité des systèmes d'information)
  • Notification à la CNIL dans le cadre de l'obligation de déclaration sous 72 heures prévue par le RGPD
  • Dépôt de plainte auprès du parquet de Paris
  • Vérifications en cours sur l'ensemble des systèmes d'information du ministère

Ce qui pose question

Le communiqué du 23 mars, qui fait office de notification publique, reste lacunaire sur plusieurs points. Le SNES-FSU a dénoncé l'absence d'information individuelle directe aux agents concernés. L'article 34 du RGPD prévoit pourtant que lorsque le risque pour les droits et libertés des personnes est élevé, le responsable de traitement doit informer chaque personne concernée individuellement. Avec des adresses postales et des numéros de téléphone dans la nature, le risque est difficile à qualifier autrement que d'élevé.

Par ailleurs, le ministère n'a pas communiqué sur un point technique décisif : l'accès au système COMPAS nécessitait-il une authentification multifacteurs (MFA) ? Le fait qu'un simple couple identifiant/mot de passe ait suffi à pénétrer dans une base contenant les données de 243 000 personnes suggère que non. Pour un système accessible depuis l'extérieur et contenant des données personnelles sensibles, l'absence de MFA est une faille de sécurité de base.

Le secteur éducatif français sous pression

L'incident COMPAS ne survient pas dans un vide. Le secteur éducatif est devenu la première cible des cyberattaques en France.

Un bilan accablant en quelques mois

Depuis début 2026, le secteur accumule les incidents :

  • Janvier 2026 : piratage de la plateforme GAEL, exposant les données de 5,8 millions de personnes
  • Mars 2026 : l'Enseignement catholique signale une attaque touchant 1,5 million de personnes
  • Mars 2026 : piratage de COMPAS à l'Éducation nationale, 243 000 agents
  • Mars 2026 : données de 1,55 million d'élèves de l'UNSS publiées sur le darknet (exfiltrées en novembre 2025)

Au total, plus de 9 millions de personnes — agents, enseignants, élèves — ont vu leurs données compromises dans le secteur éducatif français en l'espace de trois mois.

Pourquoi l'éducation est une cible

Selon les données de l'ANSSI, le secteur de l'éducation a concentré 34 % des incidents traités par l'agence en 2025, en faisant le premier secteur touché en France. Les raisons sont structurelles : des systèmes d'information vieillissants, des budgets IT limités, une surface d'attaque étendue (des centaines de milliers d'utilisateurs répartis sur tout le territoire), et une culture de la cybersécurité encore insuffisante dans les pratiques quotidiennes.

Ce que les agents concernés doivent faire

Si vous êtes enseignant ou agent de l'Éducation nationale et que vous avez été stagiaire au cours des dix dernières années, vos données sont potentiellement dans cette fuite.

Méfiez-vous des courriers physiques inhabituels. Un document prétendument envoyé par le rectorat, la MGEN, le ministère ou tout autre organisme, qui vous demande de communiquer des informations personnelles ou de cliquer sur un lien, doit être vérifié directement auprès de l'organisme concerné.

Ne confirmez jamais votre identité par téléphone. Si un interlocuteur vous appelle en se présentant comme un service administratif et vous demande votre date de naissance, votre numéro de Sécurité sociale ou vos coordonnées bancaires « pour vérification », raccrochez et rappelez le numéro officiel.

Surveillez votre boîte aux lettres physique. L'usurpation d'identité par courrier (ouverture de comptes, souscription de crédits) est facilitée quand l'attaquant dispose de votre adresse postale et de votre identité complète.

Signalez toute tentative suspecte. Les tentatives de phishing ou d'arnaque peuvent être signalées sur la plateforme Pharos (internet-signalement.gouv.fr) et auprès du DPD de votre académie.

Le fond du problème

L'affaire COMPAS illustre un schéma que l'on retrouve dans la quasi-totalité des fuites de données du secteur public français ces deux dernières années. Un système accessible depuis l'extérieur. Des identifiants volés qui ouvrent la porte sans résistance. Pas de MFA. Une détection tardive. Des données conservées bien au-delà de ce que la finalité justifie. Et au bout, des centaines de milliers de personnes exposées.

Ce n'est pas un problème d'attaque sophistiquée. C'est un problème de défense élémentaire. L'attaquant a utilisé un mot de passe volé. Il n'a pas eu besoin de plus.

Sources :

  • Ministère de l'Éducation nationale, « Incident de sécurité affectant les données de certains personnels de l'éducation nationale », 23 mars 2026 : education.gouv.fr
  • Franceinfo, « Les données personnelles d'environ 243 000 agents de l'Éducation nationale ont été piratées », 24 mars 2026 : franceinfo.fr
  • L'Usine Digitale, « Fuite massive de données dans l'Éducation nationale : une intrusion via un compte compromis », 24 mars 2026 : usine-digitale.fr
  • Clubic, « Piratage très inquiétant à l'Éducation nationale : le ministère reconnaît l'incident et la difficulté à le repérer », 24 mars 2026 : clubic.com
  • Le Monde Informatique, « Piratage à l'Éducation nationale, 243 000 agents concernés », 24 mars 2026 : lemondeinformatique.fr
  • SNES-FSU, « Fuite de données personnelles : le ministère de l'Éducation nationale n'est pas à la hauteur ! », 24 mars 2026 : snes.edu
  • France 3 Régions, « Encore une cyberattaque : la cible, 243 000 agents de l'Éducation nationale », 25 mars 2026 : france3-regions.franceinfo.fr
  • Le Café pédagogique, « 243 000 agents de l'Éducation nationale concernés par un piratage », 24 mars 2026 : cafepedagogique.net

Articles similaires

Bouygues Telecom : 6,4 millions de clients exposés, IBAN compris

Le 6 août 2025, Bouygues Telecom a confirmé une fuite de données touchant 6,4 millions de comptes clients — soit 30 % de sa base d'abonnés. Coordonnées, état civil, données contractuelles et IBAN dans la nature. Analyse de l'incident et des risques concrets pour les victimes.

DGFiP : 1,2 million de comptes bancaires exposés via le fichier FICOBA

En février 2026, un attaquant a accédé au fichier national des comptes bancaires (FICOBA) de la DGFiP pendant 16 jours grâce à des identifiants usurpés d'un fonctionnaire. IBAN, identités, adresses : retour sur une fuite qui fragilise la confiance dans l'administration fiscale.

Fédérations sportives : la vague de cyberattaques qui a exposé des millions de licenciés français

En six mois, plus de trente fédérations sportives françaises ont été piratées. Football, tir, gymnastique, natation, athlétisme : retour sur une série d'attaques qui a exposé les données de millions de licenciés et provoqué des cambriolages ciblés.