Cyberattaques à l'Éducation nationale : ce que les DSI du privé doivent vraiment retenir

# Cyberattaques à l'Éducation nationale : ce que les DSI du privé doivent vraiment retenir

L'Éducation nationale n'est pas une entreprise. Mais quand ses systèmes tombent, ce sont des millions de données personnelles — celles d'enfants, de familles, d'enseignants — qui se retrouvent exposées. Et si vous pensez que ça ne vous concerne pas directement, vous avez peut-être tort.

Un secteur sous pression permanente, et ce n'est pas un hasard

Depuis plusieurs années, le secteur éducatif figure parmi les cibles les plus frappées par les cyberattaques en France et en Europe. Les établissements scolaires, les rectorats, les plateformes nationales comme ProConnect ou les ENT (Espaces Numériques de Travail) ont tous, à un moment ou un autre, subi des incidents allant de la simple fuite de données à des ransomwares paralysants.

Pourquoi ? Parce que ce secteur cumule les vulnérabilités structurelles que n'importe quel DSI reconnaîtra immédiatement : des systèmes d'information hétérogènes construits sur vingt ans de strates successives, des budgets IT chroniquement insuffisants, des équipes réduites, et une dépendance massive à des prestataires et hébergeurs dont la localisation des données n'a pas toujours été la priorité numéro un.

En 2026, la situation n'a pas fondamentalement changé. Les attaquants, eux, se sont professionnalisés. Les groupes ransomware-as-a-service ont industrialisé leurs opérations. Et le secteur public éducatif reste une cible rentable : les données qu'il traite ont une valeur marchande réelle sur les forums clandestins, et la pression politique pour rétablir les services rapidement pousse parfois à des décisions regrettables.

La vraie question : où vivent vos données ?

Si vous êtes DSI ou CTO d'une PME ou d'une ETI en Europe, vous vous dites peut-être que vous gérez mieux que ça. Probablement vrai. Mais l'affaire de l'Éducation nationale soulève une question que vous ne pouvez pas esquiver : savez-vous précisément où résident vos données sensibles, et sous quelle juridiction elles tombent ?

C'est là que le sujet de la souveraineté numérique cesse d'être un débat de politique publique pour devenir une question opérationnelle très concrète. Pas dans un sens idéologique — personne ici ne va vous demander de brandir le drapeau européen sur vos baies de serveurs. Mais dans un sens pratique : quand vos données sont hébergées chez un acteur soumis au Cloud Act américain ou à des législations extraterritoriales comparables, vous n'avez pas la même maîtrise juridique de leur accès que si elles sont hébergées dans un datacenter soumis au seul droit européen.

L'Éducation nationale a longtemps dû composer avec des contrats historiques passés bien avant que ces questions ne montent à l'agenda. Vous, vous pouvez encore choisir.

Ce que ça change concrètement pour vos équipes

Il y a quelques années, la souveraineté numérique était un argument de vente. Aujourd'hui, elle commence à devenir un critère d'audit, parfois d'assurabilité.

Les directions des risques et les assureurs cyber posent de plus en plus souvent des questions précises : où sont hébergées vos sauvegardes ? Avez-vous un plan de continuité testé ? Qui a accès à vos données de production, et depuis quel pays ? Ces questions ne sont plus réservées aux OIV (Opérateurs d'Importance Vitale) ou aux grands comptes. Elles descendent vers les ETI, notamment celles qui travaillent avec la commande publique ou qui traitent des données de santé, RH, ou financières sensibles.

Le cas de l'Éducation nationale illustre un autre point douloureux : la chaîne de sous-traitance. Plusieurs incidents récents ne venaient pas d'une attaque frontale sur le ministère, mais d'un prestataire périphérique — un éditeur de logiciel pédagogique, une plateforme d'authentification tierce, un hébergeur de second rang. La sécurité de votre système d'information est désormais aussi bonne que son maillon le plus faible, et ce maillon est souvent externe.

Pour un DSI de PME ou d'ETI, ça veut dire que la question ne se limite pas à vos propres pratiques. Elle s'étend à l'ensemble de votre écosystème de fournisseurs.

Souveraineté ne signifie pas repli sur soi

Soyons précis, parce que ce terme génère beaucoup de confusion. Opter pour des solutions européennes qualifiées ne veut pas dire renoncer à la performance, ni s'infliger une punition budgétaire. Ça veut dire arbitrer en connaissance de cause.

Prenons deux exemples concrets qui méritent attention sans que ce soit une liste exhaustive.

**Outscale by Dassault Systèmes** — aujourd'hui intégré dans l'offre 3DS Outscale — est une infrastructure cloud souveraine française qui a obtenu la qualification SecNumCloud de l'ANSSI. Ce label est exigeant : il garantit que l'hébergeur est immunisé contre les législations extraterritoriales et que ses données sont traitées exclusivement sur le territoire européen. Ce n'est pas un argument marketing, c'est une certification auditée. Pour une ETI qui cherche à héberger des données RH ou financières sensibles, ce type de qualification commence à peser dans les appels d'offres publics — et bientôt dans les cahiers des charges privés.

**Oodrive**, spécialiste français du partage et de la signature de documents, est un autre acteur qui a fait le choix de la qualification SecNumCloud sur ses offres de coffre-fort numérique et de collaboration. Ce qui est intéressant avec ce cas, c'est qu'il illustre une niche souvent négligée : la gestion documentaire sécurisée. Dans les établissements éducatifs comme dans les entreprises, c'est souvent par là que fuient les données — par un lien de partage mal configuré, un espace collaboratif ouvert trop largement, un document envoyé au mauvais destinataire.

Ces deux acteurs ne sont pas mentionnés parce qu'ils seraient les seuls ou les meilleurs dans l'absolu. Ils illustrent un point : l'offre souveraine qualifiée existe, elle est mature, et elle n'est plus réservée aux grands comptes de l'État.

Les pièges à éviter — et les bonnes questions à poser

Avant d'aller plus loin dans une réflexion sur la souveraineté de votre SI, quelques mises en garde s'imposent.

Le label souverain n'est pas une garantie de sécurité. Un hébergeur certifié SecNumCloud peut tout à fait héberger une application mal conçue, avec des mots de passe par défaut, sans segmentation réseau et sans journalisation sérieuse. La souveraineté de la donnée et sa sécurité technique sont deux axes distincts qui doivent être traités en parallèle, pas en substitution l'un de l'autre.

La migration n'est pas une fin en soi. Changer d'hébergeur parce que c'est souverain, sans revoir ses pratiques d'accès, ses politiques de sauvegarde et sa gestion des droits, c'est faire de la cosmétique. L'Éducation nationale a appris à ses dépens que les incidents venaient rarement d'un seul vecteur d'attaque, mais d'une combinaison de faiblesses accumulées.

Posez les bonnes questions à vos prestataires actuels. Où sont physiquement hébergées mes données ? Qui, dans vos équipes, y a accès et depuis quel pays ? Avez-vous une procédure documentée en cas de demande d'accès d'une autorité étrangère ? Avez-vous subi des incidents de sécurité au cours des deux dernières années, et si oui, comment ont-ils été gérés ? Ces questions ne sont pas agressives — elles sont normales. Et si votre prestataire les esquive, c'est une information en soi.

Ne laissez pas la question de la souveraineté masquer celle de l'hygiène de base. En 2026, une part significative des incidents que connaît le secteur éducatif — et bien d'autres — reste liée à des fondamentaux non respectés : absence de MFA sur les accès critiques, sauvegardes non testées, correctifs non appliqués, comptes à privilèges non audités. La sophistication de l'attaquant ne doit pas faire oublier que la plupart des brèches commencent par une erreur simple.

Ce que l'Éducation nationale nous enseigne, en définitive

Il y a quelque chose d'un peu paradoxal à ce que ce soit l'institution chargée de transmettre les savoirs qui se retrouve régulièrement à devoir réapprendre les bases de la cybersécurité dans la douleur. Mais ce paradoxe est instructif.

Les contraintes qui frappent l'Éducation nationale — héritage technique, dispersion des responsabilités, sous-investissement chronique, dépendance à des tiers peu contrôlés — ne lui sont pas exclusives. Elles existent, à des degrés divers, dans beaucoup de PME et d'ETI qui ont grandi vite, qui ont multiplié les outils SaaS sans politique globale, qui ont délégué leur IT à un prestataire unique sans vraiment auditer ses pratiques.

La différence, c'est que vous avez encore la capacité d'arbitrer. Vous pouvez choisir vos prestataires, renégocier vos contrats, exiger de la transparence. Vous pouvez décider, maintenant, que la prochaine migration ou le prochain renouvellement de contrat sera l'occasion de poser sérieusement la question de où vivent vos données, et sous quelle juridiction.

La souveraineté numérique n'est pas un idéal platonique. C'est une variable de risque comme une autre. Et comme toute variable de risque, elle mérite d'être mesurée, discutée, et arbitrée — pas ignorée parce que le sujet semble trop politique ou trop technique.

Alors : la dernière fois que vous avez audité la localisation réelle de vos données critiques, c'était quand ?

*Cet article fait partie de la série RiffLab « Décisions IT » — des analyses pour les décideurs qui préfèrent comprendre avant de choisir.*