Le ministère de l’Éducation nationale a révélé mardi 14 avril avoir été victime d’une cyberattaque. Des données personnelles d’élèves — prénom, nom, établissement, classe — ont été compromises via la plateforme ÉduConnect. L’ANSSI et la CNIL ont été saisies.
L’annonce est venue trois mois après les faits. En fin d’année 2025, le compte d’un personnel habilité avait été usurpé, ouvrant un accès frauduleux au système de gestion des comptes ÉduConnect. Le ministère a attendu d’avoir corrigé la faille avant d’informer les familles.
Les données exposées comprennent le prénom, le nom, l’identifiant ÉduConnect, l’établissement fréquenté et la classe de chaque élève concerné. L’adresse email de l’élève, si elle avait été renseignée, ainsi que les codes d’activation des comptes non encore activés ont également pu être récupérés par les pirates.
ANSSI et CNIL saisies, plainte déposée
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été alertée dans la foulée de la découverte. La Commission nationale de l’informatique et des libertés (CNIL) a aussi été notifiée, conformément au RGPD. Une plainte pénale a par ailleurs été déposée. Le nombre exact d’élèves touchés n’a pas encore été communiqué par le ministère.
Les familles dont les enfants sont concernés seront directement contactées. Le ministère précise que la faille, identifiée en décembre 2025, est depuis lors corrigée et que les systèmes sont désormais sécurisés.
- À retenir : Des données d’élèves (nom, établissement, classe) ont été exposées via ÉduConnect en fin 2025
- L’attaque résulte de l’usurpation d’un compte agent, la faille est depuis corrigée
- ANSSI, CNIL et justice ont été saisis par le ministère de l’Éducation nationale
