Se rendre au contenu

🎯 Piratage du portail COMPAS : 243 000 agents touchés

Intrusion dans le portail RH COMPAS : comprendre l’attaque, mesurer les impacts et renforcer la cybersécurité dans l’Éducation nationale

🔐 Piratage du portail COMPAS : 243 000 agents de l’Éducation nationale touchés

Analyse, risques et plan d’action pour les établissements scolaires

L’Éducation nationale fait face à l’un des incidents de cybersécurité les plus importants de ces dernières années. Le 15 mars 2026, une intrusion dans COMPAS, l’outil RH utilisé pour la gestion des enseignants stagiaires, a permis l’exfiltration de données personnelles concernant environ 243 000 agents.

L’attaque n’a été détectée que quatre jours plus tard, le 19 mars, puis rendue publique le 24 mars.

Cet événement rappelle une réalité : les établissements scolaires sont devenus des cibles privilégiées, car ils manipulent des données sensibles, disposent d’environnements hétérogènes et manquent souvent de ressources dédiées à la cybersécurité.

Dans cet article, nous analysons l’incident, ses impacts concrets, et surtout les actions prioritaires que les écoles, collèges, lycées et structures éducatives doivent mettre en œuvre immédiatement.

🧩 1. Ce qui s’est réellement passé

Selon les informations communiquées par le ministère, l’attaquant a utilisé un compte externe compromis pour accéder à COMPAS.

Ce type d’attaque — l’exploitation d’identifiants légitimes — est aujourd’hui l’un des scénarios les plus fréquents, car il contourne naturellement les protections classiques.

Une fois connecté, l’assaillant a pu :

  • parcourir les données du portail,
  • exfiltrer des fichiers,
  • et publier un échantillon en ligne sous le pseudonyme “Hexdex”.

Le ministère a immédiatement :

  • suspendu l’accès externe à COMPAS,
  • activé une cellule de crise,
  • saisi l’ANSSI et la CNIL,
  • lancé une analyse forensique complète.

Ce délai de détection (4 jours) est cohérent avec les attaques par identifiants compromis : aucune alerte technique n’est déclenchée si l’authentification semble “normale”.

🗂️ 2. Quelles données ont été compromises ?

Les premières analyses indiquent que les informations suivantes ont été exfiltrées :

📌 Données personnelles des agents

  • Nom, prénom
  • Adresse postale
  • Numéro de téléphone
  • Historique des périodes d’absence (sans motif)

📌 Données professionnelles

  • Identité des tuteurs
  • Numéros de téléphone professionnels
  • Informations administratives liées au parcours de stage

Aucune donnée médicale ni donnée RH sensible (sanctions, évaluations, etc.) n’a été mentionnée à ce stade.

Pourquoi c’est grave ?

Parce que ces données permettent :

  • des campagnes de phishing ultra‑ciblées,
  • des fraudes par SMS crédibles,
  • des usurpations d’identité,
  • des attaques visant les établissements eux‑mêmes (rebond).

Les cybercriminels savent parfaitement exploiter ce type d’informations pour contourner la vigilance.

🌍 3. Un écosystème éducatif sous pression

Cet incident survient alors que le SGEC (Enseignement catholique) a annoncé une attaque distincte touchant une application du premier degré, exposant les données d’environ 1,5 million de personnes.

Même si les deux systèmes sont indépendants, la concomitance de ces événements montre que le secteur éducatif est devenu une cible stratégique pour les cyberattaquants.

🛡️ 4. Que doivent faire les établissements scolaires maintenant ?

Même si COMPAS est géré au niveau national, les établissements ont des obligations et des responsabilités locales.

Voici un plan d’action clair, pragmatique et immédiatement applicable.

🔔 Étape 1 : Prévenir les risques d’exploitation immédiate

Sensibiliser rapidement les personnels

  • Rappeler qu’aucun service ne demandera jamais un mot de passe ou un RIB par e‑mail/SMS.
  • Insister sur la prudence face aux liens prétendant “mettre à jour un dossier RH”.
  • Encourager le signalement immédiat de tout message suspect.

Renforcer l’authentification

  • Activer ou imposer la MFA sur ENT, M365, VPN, messagerie.
  • Vérifier que les comptes sensibles (direction, gestion, DPO, administrateurs) sont protégés.

Surveiller les connexions inhabituelles

  • Examiner les journaux depuis le 15 mars.
  • Rechercher des connexions hors horaires habituels ou depuis des pays inattendus.

🔧 Étape 2 : Durcir l’environnement numérique de travail

Messagerie : première ligne de défense

  • Vérifier SPF / DKIM / DMARC.
  • Activer l’isolation des URL et pièces jointes.
  • Déployer des alertes sur comportements anormaux.
  • Former les personnels à reconnaître les signaux faibles d’un phishing.

Postes et comptes

  • Appliquer le principe du moindre privilège.
  • Imposer des mots de passe robustes et non réutilisés.
  • Déployer un EDR (Defender, SentinelOne, etc.).
  • Surveiller les journaux via SIEM ou Defender.

Accès distants

  • Restreindre les accès VPN.
  • Imposer MFA + Conditional Access.
  • Vérifier les connexions depuis le 15/03.

📘 Étape 3 : Se mettre en conformité RGPD

Même si l’établissement n’est pas responsable de la fuite, il doit :

Documenter l’incident

  • Nature des données,
  • Risques potentiels,
  • Mesures prises,
  • Personnes potentiellement concernées.

Notifier si nécessaire

  • Notification CNIL sous 72 h si un risque existe.
  • Information des personnels en cas de risque élevé.

Mettre à jour les documents internes

  • Registre des violations,
  • PSSI,
  • Plan de sensibilisation annuel.

🤝 5. Comment Pro‑IT accompagne les établissements éducatifs

Pro‑IT accompagne déjà de nombreuses écoles, collectivités et structures éducatives dans la sécurisation de leurs environnements numériques.

Nous proposons un dispositif opérationnel, adapté aux contraintes du secteur.

🔍 Audit flash cybersécurité (5 jours)

  • Analyse des configurations ENT / M365
  • Vérification SPF / DKIM / DMARC
  • Contrôle MFA et accès sensibles
  • Analyse des journaux de sécurité
  • Cartographie des comptes et droits

🛠️ Plan de remédiation priorisé

  • MFA généralisée
  • Politiques Zero Trust / Conditional Access
  • Déploiement EDR
  • Supervision continue
  • Simulations de phishing trimestrielles

📑 Accompagnement RGPD

  • Aide à la documentation de l’incident
  • Support à la notification CNIL
  • Mise en place de procédures internes adaptées au secteur éducation
  • Formation DPO / direction / administrateurs

📌 À retenir

  • Intrusion le 15/03 via un compte usurpé → détection le 19/03 → COMPAS hors‑ligne.
  • 243 000 agents concernés, données en vente : vigilance maximale.
  • Les établissements doivent renforcer MFA, messagerie, accès distants et sensibilisation.
  • Pro‑IT propose un accompagnement complet : audit, remédiation, RGPD.

Sources :
📰 Sources presse (analyse de l’incident COMPAS)

Le Figaro

Ouest‑France

France Bleu

20 Minutes


in IT
36 caméras pour sécuriser le lycée : un chantier clé en main conforme RGPD
Déploiement d’un système de vidéosurveillance performant et abordable basé sur la technologie TP‑Link VIGI.