L’éducation dans le viseur des attaquants
Les établissements d’enseignement français — universités, grandes écoles, lycées, collèges, organismes de formation — concentrent un cocktail de vulnérabilités que les cybercriminels exploitent méthodiquement. Les raisons sont structurelles, pas conjoncturelles.
Le volume de données personnelles. Une université de taille moyenne gère les informations de 20 000 à 40 000 étudiants et plusieurs milliers d’agents : noms, adresses, numéros INE, coordonnées bancaires pour les bourses, notes, données médicales, données de recherche parfois sensibles. Cette masse fait de chaque établissement une cible à haute valeur pour le vol d’identité et la revente sur le dark web.
Des budgets IT sous-dimensionnés. La Cour des comptes a relevé dans son rapport sur le numérique dans l’enseignement supérieur que les dépenses IT des universités restent en dessous des standards recommandés. Pas de SOC interne, pas d’équipe cybersécurité à temps plein dans la plupart des établissements. La sécurité repose sur quelques techniciens qui gèrent aussi l’infrastructure réseau et le support.
La diversité des utilisateurs. Étudiants de 18 ans qui n’ont jamais entendu parler de phishing, enseignants-chercheurs qui privilégient la commodité, administratifs qui traitent des centaines d’emails par jour, intervenants extérieurs avec des accès temporaires — chaque profil représente un vecteur d’attaque différent.
Des réseaux ouverts par nature. Wi-Fi du campus, salles informatiques en libre accès, Eduroam partagé entre institutions — l’architecture réseau est conçue pour l’ouverture, pas pour la segmentation de sécurité.
Des pics saisonniers exploitables. Inscriptions Parcoursup, rentrée, examens, remise des bourses : ces périodes surchargent le personnel et créent des fenêtres d’opportunité où la vigilance baisse face au volume d’emails.
Les universités françaises sous le feu des attaques
Les incidents se multiplient dans l’enseignement supérieur français et sont de plus en plus documentés.
Aix-Marseille Université (mars 2020) : la plus grande université de France (80 000 étudiants) est frappée par une cyberattaque qui coïncide avec le premier confinement. L’ensemble des services numériques est perturbé au moment même où l’institution doit basculer en enseignement à distance. Le timing n’est pas un hasard : les attaquants exploitent les périodes de désorganisation.
Université Paris-Saclay (août 2024) : un ransomware touche les systèmes pendant la période estivale, quand les effectifs IT sont réduits. Les services numériques sont perturbés pendant plusieurs semaines, affectant la préparation de la rentrée. L’ANSSI est mobilisée pour la remédiation.
Université de Strasbourg (2023) : une attaque perturbe les systèmes d’information pendant plusieurs mois. Les équipes IT reconstruisent une partie de l’infrastructure tout en maintenant les services aux étudiants.
Ces cas médiatisés ne représentent que la partie visible. De nombreux établissements subissent des compromissions sans communication publique.
Les ENT : la porte d’entrée privilégiée
Les Espaces Numériques de Travail (ENT) sont devenus le vecteur d’attaque favori des cybercriminels dans l’éducation. En mars 2024, une vague de fausses alertes à la bombe diffusées via des comptes ENT compromis a touché des centaines d’établissements scolaires en France. Le mécanisme : des identifiants d’élèves volés par phishing ou par des stealers (logiciels voleurs de mots de passe), puis utilisés pour envoyer des messages de menace depuis des comptes légitimes.
Le problème est systémique. Les ENT regroupent messagerie, notes, emploi du temps, documents pédagogiques et vie scolaire sur un seul portail. Un identifiant compromis donne accès à tout. Et la plupart des ENT dans le secondaire ne disposent pas d’authentification multifacteur (MFA), ce qui rend le vol d’identifiants par credential stuffing ou par page de connexion contrefaite trivial pour un attaquant.
Ransomware sur les systèmes administratifs
Au-delà des ENT, les systèmes de gestion administrative (scolarité, paie, comptabilité, RH) sont des cibles de choix pour le ransomware. Un établissement dont le système de gestion de scolarité est chiffré ne peut plus inscrire d’étudiants, éditer de relevés de notes ou verser les bourses. La pression pour payer la rançon est considérable, surtout en période d’examens ou d’inscription. L’ANSSI recommande de ne jamais payer, mais la réalité opérationnelle pousse certains établissements dans leurs retranchements.
Ce que disent les chiffres
Le secteur de l’éducation cumule sous-investissement en cybersécurité et exposition maximale aux attaques.
Notre analyse : 2 191 établissements éducatifs passés au crible
Nous avons analysé les configurations de sécurité email (SPF, DKIM, DMARC) des domaines de 2 191 établissements du secteur éducation et formation en France. Le résultat : 40 % obtiennent un score faible (D, E ou F), le pire ratio de tous les secteurs que nous avons analysés. Quatre établissements sur dix présentent des failles de configuration email qui permettent à n’importe quel attaquant d’usurper leur identité par email.
Un domaine universitaire sans DMARC en mode « reject » peut être usurpé pour envoyer de faux emails de scolarité aux étudiants, de fausses convocations aux enseignants ou de fausses demandes de paiement aux fournisseurs. Les victimes n’ont aucun moyen technique de distinguer ces emails frauduleux des vrais.
Ce score de 40 % est d’autant plus alarmant qu’il concerne des établissements qui gèrent les données de mineurs — une catégorie de données bénéficiant d’une protection renforcée sous le RGPD.
Les statistiques nationales et internationales
L’ANSSI signale dans son Panorama de la cybermenace 2023 que les établissements d’enseignement supérieur et de recherche figurent parmi les entités les plus touchées par les cyberattaques en France. Le secteur éducatif est régulièrement mentionné aux côtés des collectivités territoriales et de la santé comme cible prioritaire des attaques opportunistes.
À l’échelle mondiale, le rapport Verizon Data Breach Investigations Report 2024 confirme que le secteur éducatif figure dans le top 5 des secteurs les plus ciblés par le phishing et le ransomware. Le rapport note que l’ingénierie sociale est le vecteur d’attaque initial dans plus de 60 % des incidents touchant l’éducation.
La CNIL a sanctionné plusieurs établissements pour manquement à la protection des données d’élèves. Mais le risque réputationnel va au-delà des amendes : c’est la confiance des familles et des financeurs qui est en jeu.
Le coût moyen d’une violation de données dans le secteur éducatif atteint 3,65 millions de dollars selon le rapport IBM Cost of a Data Breach 2024. Pour un établissement français, le coût se mesure aussi en perturbation pédagogique : semaines de cours perdues, examens reportés, inscriptions bloquées.
Les attaques qui visent votre secteur
Les attaquants adaptent leurs scénarios au quotidien des établissements d’enseignement. Voici les six types d’attaques les plus fréquents.
Fausses pages de connexion ENT
L’attaque la plus répandue dans l’éducation. L’email imite une notification ENT (« Votre session a expiré », « Nouveau message de votre professeur principal ») et redirige vers une page de connexion contrefaite. La technique repose sur le spoofing du domaine de l’établissement et le typosquatting sur le nom de la plateforme ENT.
Faux emails de bourses et d’aides financières
Les étudiants reçoivent un email prétendument envoyé par le CROUS, la CAF ou le service de scolarité, les informant d’un versement en attente ou d’un complément de bourse à réclamer. Le lien mène à un formulaire qui collecte les données bancaires et personnelles. Ces attaques sont particulièrement efficaces pendant les périodes de versement des bourses (septembre-octobre, janvier) quand les étudiants attendent réellement ces notifications.
Faux support informatique et réinitialisation de mot de passe
Un email de la « DSI » demande une réinitialisation urgente du mot de passe suite à un prétendu incident de sécurité. Le ton directif et technique inhibe la méfiance chez les non-spécialistes. Ce scénario de spear phishing cible les personnels administratifs et les enseignants, qui ont tendance à obéir aux consignes techniques sans les questionner.
Fausses communications du rectorat ou du ministère
Un email aux couleurs du rectorat ou du ministère de l’Éducation nationale annonce une nouvelle procédure ou un document à télécharger. L’attaquant exploite le rapport hiérarchique : un personnel d’établissement ne remet pas en question un email du rectorat. Le document joint contient un malware ou le lien mène à une page de collecte d’identifiants. Ce pretexting est d’autant plus efficace que les communications institutionnelles réelles sont fréquentes.
Fausses invitations de collaboration scientifique
Dans l’enseignement supérieur, les attaquants exploitent les habitudes de collaboration internationale. Un email invite un enseignant-chercheur à consulter un article ou à participer à un comité de lecture. Le lien pointe vers un faux portail de connexion (Google Scholar, ORCID, HAL) ou déclenche le téléchargement d’un fichier piégé. Les chercheurs, habitués à ce type de sollicitations, sont des cibles particulièrement exposées.
Fausses demandes d’accès aux dossiers scolaires
Un email prétend provenir d’un parent, d’un avocat ou d’une administration et demande la transmission urgente d’un dossier scolaire. L’urgence invoquée (procédure judiciaire, inscription dans un autre établissement) pousse le personnel à contourner les procédures de vérification. C’est une forme d’ingénierie sociale qui exploite la culture de service des établissements.
RGPD, NIS2 et vos obligations
Les établissements d’enseignement sont soumis à un cadre réglementaire strict en matière de protection des données et de cybersécurité. Deux textes principaux encadrent vos obligations.
RGPD et protection des données d’élèves
Le RGPD impose des obligations renforcées lorsque des données de mineurs sont traitées. La CNIL a publié des recommandations spécifiques pour le secteur éducatif :
- Minimisation des données : ne collecter que les données strictement nécessaires
- Sécurisation des accès : ENT et systèmes de gestion scolaire protégés par des mesures proportionnées à la sensibilité des données
- Notification des violations : toute fuite notifiée à la CNIL dans les 72 heures et, si le risque est élevé, aux personnes concernées
- Analyse d’impact : les traitements à grande échelle de données de mineurs nécessitent une AIPD
Un incident de phishing qui compromet un compte administratif donnant accès aux dossiers scolaires déclenche ces obligations. L’établissement doit notifier, remédier et documenter — autant d’étapes coûteuses en temps et en réputation.
NIS2 pour les établissements d’enseignement supérieur
La directive NIS2 inclut explicitement les administrations publiques, y compris les établissements d’enseignement supérieur publics. Pour les universités et grandes écoles publiques, NIS2 impose :
- Des mesures de gestion des risques cyber adaptées
- La notification des incidents significatifs à l’ANSSI
- La formation et la sensibilisation du personnel aux cybermenaces
- Des politiques de sécurité couvrant l’analyse de risques et la continuité d’activité
Les établissements privés de grande taille peuvent aussi être concernés selon les critères définis par la transposition nationale.
Les recommandations de l’ANSSI pour l’éducation
L’ANSSI a publié des guides de bonnes pratiques applicables aux établissements d’enseignement. Le guide d’hygiène informatique détaille 42 mesures dont plusieurs concernent la sensibilisation et la protection de la messagerie : déploiement de DMARC, SPF et DKIM, activation du MFA sur les comptes à privilèges, sensibilisation régulière aux risques de phishing et d’ingénierie sociale, et procédures de signalement des emails suspects.
Pour un panorama complet de vos obligations de conformité et des rapports que nos solutions génèrent, consultez notre page Conformité.
Des scénarios de simulation adaptés à l’éducation
Les simulations de phishing génériques ne reflètent pas la réalité quotidienne d’un établissement d’enseignement. Un email « Vous avez gagné un iPhone » ne trompera pas un enseignant, mais un email imitant une convocation du rectorat ou une notification ENT aura un tout autre taux de clic. Voici les scénarios que nous déployons pour le secteur éducatif.
Fausses notifications ENT
Un email reproduit fidèlement les notifications automatiques de l’ENT de l’établissement : nouveau message, note publiée, modification d’emploi du temps. Le lien redirige vers une page de connexion contrefaite. Ce scénario teste le réflexe de vérification de l’URL avant saisie des identifiants — un comportement qui fait défaut chez la majorité des utilisateurs lors des premières campagnes.
Faux emails Parcoursup et MonMaster
Pour les établissements d’enseignement supérieur, des emails imitent les notifications de Parcoursup (pour les licences) ou de MonMaster (pour les masters) : confirmation de voeu, mise à jour de dossier, document manquant. Ces campagnes sont particulièrement efficaces pendant les périodes de candidature et mesurent la résilience des services de scolarité.
Faux support IT et maintenance planifiée
Un email du « service informatique » annonce une maintenance ou une migration et demande de confirmer ses identifiants via un lien. Ce scénario cible les personnels administratifs et techniques, et mesure l’efficacité des procédures de communication interne de la DSI.
Fausses invitations à des colloques et conférences
Pour les enseignants-chercheurs, un email invite à soumettre une communication à une conférence internationale ou à rejoindre un comité scientifique. Le lien demande de se connecter avec ses identifiants institutionnels. Ce scénario exploite les habitudes professionnelles du monde académique et teste la vigilance sur les URLs.
Faux emails de plainte parentale ou étudiante
Un email imite la direction de l’établissement et transmet une « plainte urgente » d’un parent ou d’un étudiant, avec un document à consulter. Le fichier joint est le vecteur d’attaque. Ce scénario teste la réaction émotionnelle face à une mise en cause professionnelle et la capacité à résister à l’urgence artificielle créée par l’attaquant.
Chaque simulation ratée déclenche une micro-formation de 3 à 5 minutes sur les signaux d’alerte spécifiques au scénario. Le format court respecte les contraintes de temps des enseignants et des administratifs, et le retour contextuel sur l’erreur commise ancre les bonnes pratiques.
Protéger votre établissement
La protection d’un établissement d’enseignement contre le phishing suit quatre étapes progressives, adaptées aux contraintes budgétaires et organisationnelles du secteur.
Étape 1 : Auditer votre sécurité email
Vérifiez que votre domaine email n’est pas vulnérable à l’usurpation d’identité. Un domaine sans DMARC en mode « reject », sans DKIM correctement configuré ou avec un SPF trop permissif permet à n’importe qui d’envoyer des emails au nom de votre établissement. Nos données montrent que 40 % des établissements éducatifs analysés présentent ces failles.
Testez gratuitement la sécurité email de votre domaine en 30 secondes. Le rapport détaille votre configuration SPF, DKIM, DMARC et MTA-STS, avec des recommandations de correction prioritaires.
Étape 2 : Lancer une simulation de référence
La première campagne de simulation établit votre taux de clic de référence (baseline). Nous utilisons des scénarios adaptés au contexte éducatif — fausses notifications ENT, faux emails de scolarité, fausses communications institutionnelles — pour mesurer la vulnérabilité réelle de vos équipes. Le taux de clic initial dans les établissements d’enseignement se situe entre 30 % et 45 %, un niveau qui baisse significativement après trois mois de simulation continue.
Étape 3 : Former par micro-learning contextuel
Chaque collaborateur qui clique sur un lien de simulation reçoit immédiatement une micro-formation de 3 à 5 minutes sur les signaux d’alerte du scénario. Pas de session de deux heures en amphithéâtre. Un retour ciblé sur l’erreur commise, avec les réflexes à adopter. Les enseignants reçoivent des scénarios liés aux conférences et partages de documents, les administratifs des scénarios liés aux communications institutionnelles.
Étape 4 : Générer les rapports de conformité
Chaque campagne produit automatiquement les métriques attendues par le RGPD et NIS2 : taux de participation, taux de signalement, évolution du taux de clic, couverture des personnels formés. Ces rapports documentent vos efforts de sensibilisation en cas de contrôle CNIL ou d’audit NIS2 — les données sont structurées et exportables en un clic.
Votre domaine email est-il protégé contre l’usurpation d’identité ? 40 % des établissements éducatifs que nous avons analysés présentent des failles — le pire score de tous les secteurs. Testez le vôtre gratuitement — le diagnostic prend 30 secondes et le rapport est immédiat.
Questions fréquentes
Pourquoi les établissements scolaires et universitaires sont-ils ciblés par les cyberattaques ?
Les établissements d'enseignement concentrent des volumes massifs de données personnelles (identités, notes, coordonnées bancaires pour les bourses, données de santé via les services médicaux). Leur budget informatique est souvent inférieur à celui des entreprises de taille comparable, et la diversité des utilisateurs -- étudiants, enseignants, administratifs, chercheurs -- multiplie les points d'entrée pour les attaquants.
Quelles données personnelles d'élèves sont protégées par le RGPD ?
Le RGPD protège toutes les données personnelles des élèves et étudiants : nom, adresse, date de naissance, numéro INE, résultats scolaires, informations médicales transmises à l'infirmerie, données bancaires liées aux bourses et frais de scolarité. Les données de mineurs bénéficient d'une protection renforcée. Toute fuite doit être notifiée à la CNIL dans les 72 heures.
Qu'est-ce qu'une attaque sur un ENT et comment s'en protéger ?
Une attaque sur un ENT (Espace Numérique de Travail) consiste généralement à voler les identifiants de connexion des utilisateurs via une fausse page de connexion diffusée par email ou messagerie. Une fois les comptes compromis, les attaquants peuvent accéder aux données scolaires, diffuser des messages malveillants ou lancer des attaques en cascade. La protection passe par l'activation du MFA, la sensibilisation des utilisateurs aux faux emails et la surveillance des connexions suspectes.
Les universités sont-elles concernées par la directive NIS2 ?
La directive NIS2 classe les administrations publiques parmi les entités soumises à ses obligations. Les universités publiques, en tant qu'établissements publics à caractère scientifique, culturel et professionnel, entrent dans ce périmètre. Les obligations incluent la gestion des risques cyber, la notification des incidents significatifs et la formation du personnel aux menaces informatiques.
Combien coûte une cyberattaque pour un établissement scolaire ?
Le coût varie selon l'ampleur de l'incident. Pour une université, un ransomware peut entraîner plusieurs semaines de perturbation des cours et des services, un coût de remédiation de plusieurs centaines de milliers d'euros, et des sanctions RGPD si des données d'étudiants sont exfiltrées. L'université de Strasbourg a estimé à plusieurs mois le retour à la normale après son attaque de 2023.
Comment sensibiliser les enseignants et le personnel administratif au phishing ?
Les enseignants et administratifs ne sont pas des spécialistes IT. Les micro-formations de 3 à 5 minutes après chaque simulation ratée sont le format le plus adapté : elles corrigent le comportement sans empiéter sur le temps pédagogique. Les scénarios doivent reproduire le quotidien de l'établissement (faux emails ENT, fausses notifications Parcoursup, faux messages du rectorat) pour être crédibles.