Une intrusion détectée avec plusieurs jours de décalage a conduit à l’exfiltration de données personnelles de centaines de milliers d’agents. Le ministère confirme la fuite et engage des mesures d’urgence.
Une intrusion discrète dans un outil central de gestion RH
Le ministère de l’Éducation nationale reconnaît une violation de données touchant environ 243 000 agents, majoritairement des enseignants. L’attaque remonte au 15 mars 2026 et repose sur l’usurpation des identifiants d’un compte externe ayant permis l’accès au logiciel Compas, utilisé pour la gestion des stagiaires du premier et du second degré.
L’intrusion n’a été détectée que le 19 mars en fin de journée par le centre opérationnel de la sécurité des systèmes d’information du ministère. Durant cet intervalle, des données ont été extraites hors des circuits autorisés.
Les informations concernées incluent des données d’identification et de contact : noms, prénoms, adresses postales, numéros de téléphone, ainsi que des périodes d’absence sans précision sur leur motif. S’y ajoutent les coordonnées professionnelles des tuteurs associés aux stagiaires. Un échantillon de ces données a été diffusé sur des sites de revente par un acteur se présentant sous le pseudonyme « Hexdex ».
Réaction en urgence et vérifications en cours
À la suite de la détection, l’accès au système Compas a été suspendu et des mesures immédiates ont été prises pour contenir l’incident. Le ministère indique que des vérifications sont en cours sur l’ensemble de ses systèmes d’information afin d’écarter tout risque de propagation.
Les autorités compétentes ont été saisies, notamment l’ANSSI et la Commission nationale de l’informatique et des libertés, comme la procédure le demande. Une plainte est en cours de dépôt à Paris. Les agents concernés doivent être informés dans les meilleurs délais.
Cet épisode intervient alors qu’une autre attaque a récemment visé le secrétariat général de l’enseignement catholique, exposant les données administratives de 1,5 million de personnes via une application de gestion distincte. Le ministère précise que les deux bases de données ne sont pas liées.
