Le 15 mars 2026 un pirate a pénétré le système COMPAS du ministère de l’Éducation nationale et a dérobé les données personnelles de 243 000 agents. L’intrusion a été détectée seulement le 19 mars en fin de journée soit quatre jours d’accès libre à une base sensible.
Le logiciel COMPAS gère les ressources humaines des stagiaires et titulaires du premier et du second degré. Les informations compromises comprennent les noms prénoms adresses postales numéros de téléphone et périodes d’absence sans mention du motif. Le ministère a reconnu que d’autres champs comme les coordonnées bancaires ou les numéros de sécurité sociale pourraient avoir été consultés.
Un échantillon des données a été mis en vente sur des forums spécialisés par un groupe se présentant sous le pseudonyme « Hexdex ». Le ministère a immédiatement saisi l’Anssi et la Cnil tandis qu’une plainte a été déposée à Paris. L’accès à COMPAS a été suspendu et des vérifications sont en cours sur l’ensemble des systèmes d’information du ministère pour éviter toute propagation.
Le mode opératoire repose sur l’usage d’identifiants légitimes subtilisés à un prestataire externe. Le pirate a donc utilisé une connexion apparemment normale ce qui a retardé la détection. Le ministère a admis que ce type d’attaque est difficile à repérer et que les outils de surveillance doivent être renforcés.
Trois attaques ont frappé le secteur éducatif en trois mois. En janvier la plateforme GAEL a exposé les données de 5,8 millions de personnes. En mars l’Enseignement catholique a subi une fuite touchant 1,5 million d’individus. Avec COMPAS le total dépasse 7,5 millions de victimes dans le seul périmètre éducatif.
Le RGPD impose une notification à la Cnil dans les 72 heures suivant la découverte d’une violation. L’article 34 prévoit aussi une information directe des personnes concernées lorsque le risque est élevé. Le ministère a donc l’obligation d’avertir les 243 000 agents pour leur permettre de se protéger contre l’usurpation d’identité ou la fraude bancaire.
Les syndicats enseignants réclament une transparence complète sur la nature exacte des données volées. Le Snes-FSU a demandé que « chaque agent soit informé individuellement et sans délai ». Le ministère a promis une communication « dès que les vérifications techniques seront achevées »…
Les experts en cybersécurité soulignent que l’absence d’authentification multifacteur sur plusieurs accès critiques a facilité l’intrusion. Le retard de détection interroge aussi la capacité du centre opérationnel à repérer les signaux faibles d’une compromission.
Il est probable que l’attaque ait été préparée plusieurs semaines à l’avance. Les traces d’activité retrouvées dans les journaux de connexion montrent une exploration méthodique du réseau. Le pirate a ensuite exfiltré les données par lots compressés vers un serveur étranger.
Les agents concernés sont invités à changer leurs mots de passe sur tous les services professionnels et à surveiller leurs relevés bancaires. En cas d’usage frauduleux de leurs informations ils peuvent déposer plainte en ligne et signaler l’incident sur la plateforme cybermalveillance.gouv.fr.
L’affaire COMPAS révèle une fragilité structurelle du système éducatif français dans la protection de ses données numériques.
