Données scolaires : la faille n'est pas technique, elle est organisationnelle

20 établissements ont été revendiqués en quelques jours sur un forum cybercriminel. Au total, 11 500 élèves mineurs sont potentiellement exposés. C'est un incident de plus dans une série qui s'accélère depuis le printemps 2026. Et cela pose, une fois encore, la même question : pourquoi le secteur scolaire reste-t-il une cible aussi facile ?

Une accélération qui ne doit plus surprendre

Courant avril 2026, le groupe DumpSec a revendiqué la mise en vente d'une base issue d'ÉduConnect. Cette plateforme officielle du ministère de l'Éducation nationale est utilisée par les élèves, les parents et les établissements pour consulter notes, bulletins et démarches administratives. Les chiffres annoncés par les attaquants étaient vertigineux : plusieurs millions d'élèves concernés, essentiellement mineurs, ainsi que des millions de bulletins scolaires et des centaines de milliers d'attestations de sécurité routière. Par endroits, des mots de passe apparaissaient même en clair. À ce jour, le ministère n'a pas confirmé l'ampleur exacte revendiquée par les attaquants. Il a toutefois activé une cellule de crise et saisi l'ANSSI et la CNIL.

Ce même mois, un incident distinct touchait un lycée parisien. Par ricochet, l'académie de Paris était également concernée. Plusieurs milliers de responsables et d'élèves étaient visés, avec des données particulièrement sensibles : photos d'identité de mineurs, IBAN, dossiers scolaires complets.

Puis, début juillet, 20 collèges et lycées ont été revendiqués en l'espace de quelques jours sur un forum cybercriminel. Pour quinze d'entre eux, des bases ont été effectivement diffusées. Au total, plus de 11 500 enregistrements d'élèves sont concernés, incluant noms, dates de naissance, classes, établissements et identifiants de connexion.

Entre ces trois épisodes, seulement quelques mois se sont écoulés. Or ce ne sont là que les cas les plus visibles. En effet, le site spécialisé French Breaches recense, semaine après semaine, des revendications visant des lycées, des collèges et des services scolaires municipaux. Chacun de ces cas concerne son propre lot de centaines, voire de milliers, d'élèves.

La répétition du même schéma d'incident, sur un secteur qui gère des données de mineurs, n'est plus un signal faible. C'est une tendance de fond qui appelle un diagnostic de gouvernance, pas une nouvelle liste de bonnes pratiques techniques.

Pourquoi le scolaire est une cible structurellement facile

J'ai dirigé pendant quinze ans la DSI-RSSI de l'académie de Versailles, la plus grande académie de France, à la tête d'une DSI de 206 agents gérant un parc de 131 applications. J'ai ensuite conduit la première fusion nationale de deux DSI académiques, en Normandie. Ce parcours me permet de témoigner d'un constat qui n'a pas changé depuis dix ans : le secteur scolaire ne dispose presque jamais d'une fonction RSSI dédiée à l'échelle de l'établissement.

En réalité, la gouvernance de la sécurité des systèmes d'information scolaires est éclatée entre trois niveaux qui se coordonnent mal. D'une part, le ministère et ses plateformes nationales, comme ÉduConnect ou COMPAS. D'autre part, les académies, qui opèrent les infrastructures régionales. Enfin, les établissements eux-mêmes, souvent gérés par des personnels administratifs sans formation cyber, sur des applications héritées et peu mutualisées. À cela s'ajoutent les collectivités territoriales, qui gèrent une partie des services périscolaires avec leurs propres systèmes, généralement hors du périmètre de sécurité académique.

Le résultat est donc prévisible : des identifiants faibles, des applications de gestion scolaire vieillissantes, une authentification à facteur unique. Par conséquent, la surface d'attaque se démultiplie avec le nombre d'établissements. Or la France en compte plusieurs milliers, chacun étant potentiellement une porte d'entrée.

Le paradoxe de la sensibilisation

Pendant mes années à Versailles, j'organisais chaque année des séminaires de sensibilisation cybersécurité pour les chefs d'établissement et les directeurs. Or ces sessions révélaient, année après année, le même écart persistant. D'un côté, une prise de conscience bien réelle : les chefs d'établissement ne sont pas indifférents au sujet. De l'autre, des moyens d'action très limités sur le terrain. En effet, on ne corrige pas une architecture SI vieillissante avec une simple session annuelle, aussi utile soit-elle. Ainsi, la sensibilisation individuelle ne remplacera jamais une gouvernance structurée et un budget dédié.

Le facteur aggravant : des mineurs

Le RGPD impose des obligations renforcées pour tout traitement de données concernant des enfants. Cela inclut une information adaptée, une minimisation des données collectées et une sécurité renforcée. Or les bases exposées dans ces incidents contiennent systématiquement des données d'identité complètes de mineurs : nom, prénom, date de naissance, établissement, classe, et parfois identifiants de connexion en clair. Ainsi, il ne s'agit pas seulement d'un manquement à la sécurité informatique. C'est une exposition directe à des risques de phishing ciblé, d'usurpation d'identité et d'ingénierie sociale visant des familles entières, en s'appuyant sur des informations scolaires précises et crédibles.

Par conséquent, la responsabilité juridique des DSI d'académie et des chefs d'établissement est directement engagée à chaque nouvel incident, en tant que responsables ou sous-traitants de traitement au sens du RGPD. Or la répétition des cas rend de plus en plus difficile l'argument de la fatalité technique.

Ce qui manque : une gouvernance, pas une checklist

Les recommandations habituelles après chaque fuite sont connues : double authentification, rotation des mots de passe, formation des agents. Certes, elles restent nécessaires. Mais elles demeurent insuffisantes, car elles traitent le symptôme et non la cause. Concrètement, trois éléments font défaut.

D'abord, une fonction RSSI mutualisée et dotée de moyens à l'échelle académique, capable d'auditer et de sécuriser l'ensemble du parc applicatif des établissements, et pas seulement les plateformes nationales.

Ensuite, une cartographie des applications héritées. En effet, beaucoup des systèmes compromis dans ces incidents sont des outils de gestion scolaire ou périscolaire anciens, jamais intégrés dans une politique de sécurité cohérente lors de leur déploiement initial.

Enfin, une coordination réelle entre académies, collectivités et ministère sur le périmètre de sécurité des données scolaires. Aujourd'hui, ce périmètre reste fragmenté entre des acteurs qui n'ont ni les mêmes obligations ni les mêmes moyens.

Sans ces trois éléments, chaque nouvel incident suivra le même cycle : communiqué, cellule de crise, saisine CNIL/ANSSI, puis retour au silence. Et ainsi de suite, jusqu'à la prochaine revendication sur un forum cybercriminel.

Jacky Galicher — Consultant IT, ancien DSI-RSSI de l'académie de Versailles et DSI de l'académie de Normandie.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut