Le 15 mars 2026, un attaquant a réussi à s’introduire dans COMPAS. Piratage du système COMPAS, le système d’information du ministère de l’Éducation nationale utilisé pour la gestion des ressources humaines. L’intrusion n’a été détectée que le 19 mars en fin de journée, soit quatre jours après le début de l’attaque. Les données personnelles d’environ 243 000 agents, stagiaires et titulaires, ont été dérobées.
Comment l’attaque s’est produite
Selon les informations communiquées par le ministère, le pirate s’est emparé des identifiants d’un compte externe pour pénétrer dans le système. Cette méthode d’attaque, qui exploite des identifiants légitimes plutôt que des failles techniques, est de plus en plus courante. Elle rend la détection particulièrement difficile, puisque l’accès malveillant se présente comme une connexion normale.
Le ministère a reconnu la difficulté à repérer ce type d’intrusion. Le délai de quatre jours entre le début de l’attaque et sa détection pose la question des capacités de surveillance et d’alerte des systèmes d’information de l’Éducation nationale. Pendant cette période, l’attaquant a pu accéder librement aux données des agents et procéder à leur extraction.
Quelles données sont concernées ?
Le système COMPAS contient les informations de gestion des personnels de l’Éducation nationale : noms, prénoms, dates de naissance, numéros d’identification, affectations, grades et échelons. Selon la profondeur de l’accès obtenu par l’attaquant, des informations plus sensibles comme les coordonnées bancaires (nécessaires au versement des traitements) ou les numéros de sécurité sociale pourraient également avoir été compromises.
Le ministère n’a pas encore communiqué la liste exhaustive des catégories de données touchées, ce qui laisse les agents dans l’incertitude quant aux risques auxquels ils sont exposés.
Des obligations de notification non négociables
Le ministère de l’Éducation nationale, en tant que responsable de traitement, est soumis aux mêmes obligations que tout organisme au regard du RGPD. L’article 33 impose une notification à la CNIL dans les 72 heures suivant la prise de connaissance de la violation. L’article 34 exige une communication aux personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.
Avec 243 000 agents touchés et la possibilité que des données bancaires ou des numéros de sécurité sociale aient été dérobés, le risque d’usurpation d’identité et de fraude est significatif. Une information claire et complète des agents concernés est indispensable pour leur permettre de prendre les mesures de protection nécessaires.
Trois cyberattaques contre l’éducation en trois mois
L’incident COMPAS est le troisième à frapper le secteur éducatif français en ce début d’année 2026, après l’attaque de la plateforme GAEL (5,8 millions de personnes) en janvier et celle de l’Enseignement catholique (1,5 million de personnes) en mars. Au total, plus de 7,5 millions de personnes ont vu leurs données personnelles compromises dans le secteur éducatif en l’espace de trois mois.
Ces incidents en série posent la question de la gouvernance de la sécurité informatique dans l’ensemble du secteur éducatif. Le manque de ressources dédiées, l’absence de MFA sur certains accès critiques et les délais de détection trop longs sont des faiblesses structurelles qui appellent une réponse coordonnée.
Que faire si vous êtes agent de l’Éducation nationale ?
Si vous êtes agent du ministère de l’Éducation nationale, stagiaire ou titulaire, restez vigilant face aux tentatives de phishing qui pourraient exploiter vos données personnelles. Changez votre mot de passe sur tous les services professionnels et vérifiez que l’authentification multifactorielle est activée lorsque c’est possible. Surveillez vos relevés bancaires et votre espace personnel sur le site des impôts pour détecter toute activité suspecte.
En cas d’utilisation frauduleuse de vos données, vous pouvez déposer plainte en ligne sur le site du ministère de l’Intérieur et signaler l’incident sur la plateforme cybermalveillance.gouv.fr.
https://www.lemonde.fr/education/article/2026/03/24/le-piratage-d-un-logiciel-compromet-les-donnees-de-243-000-agents-de-l-education-nationale_6673988_1473685.html
Source : Ministère de l’Éducation nationale – Communication relative à l’incident de sécurité COMPAS
Questions fréquentes
Qu’est-ce que le système COMPAS de l’Éducation nationale ?
COMPAS est le système de gestion des ressources humaines du ministère de l’Éducation nationale. Il contient les données administratives de 243 000 agents : identité, coordonnées, situation professionnelle, données bancaires et numéros de sécurité sociale.
Je suis agent de l’Éducation nationale, mes données sont-elles compromises ?
Si vous êtes rattaché aux académies touchées, vos données ont potentiellement été exposées. Surveillez vos relevés bancaires, votre espace personnel sur impots.gouv.fr et soyez vigilant face aux tentatives de phishing ciblé.
Quels sont les risques concrets pour les agents concernés ?
Les données exposées (coordonnées bancaires, numéros de sécurité sociale) peuvent servir à l’usurpation d’identité, à la fraude bancaire ou à des tentatives de phishing très ciblées utilisant des informations professionnelles réelles.
