Mardi 05 mai 2026, par benjamin LEPELTIER

En octobre 2025, un attaquant s'est introduit discrètement dans un outil interne de Parcoursup. Pendant cinq mois, personne ne l'a vu. Ce n'est pas une défaillance technique : c'est un aveu d'absence de surveillance.

Ce qui s'est passé

Le 23 avril 2026, le ministère de l'Enseignement supérieur confirme l'incident : en octobre 2025, un attaquant a utilisé des identifiants légitimes volés à des personnels de la région académique Occitanie pour accéder à un module interne de Parcoursup. Pendant cinq mois, d’octobre 2025 à mars 2026, il a navigué librement dans cet espace, exfiltrant les données de 705 000 anciens candidats des sessions 2023 et 2025.

Ce que les attaquants ont emporté n'est pas anodin : noms, prénoms, dates de naissance, nationalités, adresses postales et e-mails, numéros de téléphone, informations scolaires (filière, statut de boursier, formations demandées). Pour les candidats qui étaient mineurs, les données de leurs parents ou tuteurs, catégorie socio-professionnelle incluse, figurent également dans le butin.

Le vrai problème : l'invisibilité de l'attaque

Aucune faille logicielle n'a été exploitée ici. L'attaquant a utilisé des identifiants valides, un login et un mot de passe appartenant à de vrais agents. C'est le scénario classique du credential stuffing ou du phishing ciblé : les données d'accès sont compromises en amont, et l'intrusion qui s'ensuit ressemble à une connexion ordinaire.

C'est précisément pourquoi cinq mois se sont écoulés sans que personne ne tire la sonnette d'alarme. Pas d'alerte sur une CVE, pas de crash système, pas de comportement aberrant détecté automatiquement. Juste un utilisateur fantôme qui consultait et exportait des données comme un agent ordinaire.

Ce que cet incident révèle de votre propre organisation

On aurait tort de lire cet incident comme un problème propre aux administrations publiques. Le vecteur d’attaque, des identifiants légitimes compromis, utilisés pour accéder à un outil interne, est universel. Il touche autant une collectivité qu'une PME, une université qu'un cabinet d'expertise comptable.

Comme nous l'explorions dans notre article sur les gestionnaires de mots de passe, la réutilisation de mots de passe et leur stockage non sécurisé sont encore la norme dans beaucoup d'organisations. Un seul identifiant compromis, récupéré sur un autre service piraté, ou via un simple phishing, peut ouvrir la porte à l'ensemble d'un système d'information.

Et comme nous le montrions dans notre analyse sur la carte jeune Occitanie, les données personnelles volées ne disparaissent pas. Elles circulent, se croisent, se revendent. Un lycéen dont les données ont été volées en 2023 peut être la cible d'une arnaque élaborée en 2027, construite à partir d'une fiche quasi complète assemblée depuis plusieurs fuites successives.

Les trois angles morts que cet incident met en lumière

1. L'absence de supervision des comptes à privilèges. Le compte compromis avait accès à un module d'extraction de données sensibles. Un tel compte devrait faire l'objet d'une authentification multifacteur (MFA) robuste, d'une journalisation exhaustive, et d'alertes sur les comportements anormaux : volumes inhabituels d'exports, horaires atypiques, localisations inattendues.

2. L'absence de détection comportementale. Cinq mois sans alerte, c'est la signature d'une absence de logs analysés. Avoir des journaux d'accès ne suffit pas : encore faut-il les lire, les corréler, et configurer des seuils d'alerte. C'est un prérequis à toute posture de sécurité sérieuse, quelle que soit la taille de l'organisation.

3. Une communication de crise réactive, pas préparée. Le ministère a saisi la CNIL et déposé plainte, correctement. Mais informer 705 000 personnes après coup, sans plan préparé, génère de la confusion et laisse un temps précieux aux attaquants pour exploiter les données volées. La communication post-incident se prépare avant l'incident.

Ce que cela nous dit de la maturité cyber en France

Notre article "Vous pensez être protégé. L'ANSSI dit non" dressait un constat préoccupant sur l'écart entre la perception du risque et la réalité de l'exposition. L'affaire Parcoursup en est une illustration de plus : les systèmes d'information publics sont insuffisamment surveillés, les accès insuffisamment cloisonnés, et les plans de réponse à incident insuffisamment rodés.

Ce n'est pas un problème de budget ni de volonté politique. C'est un problème de gouvernance, un sujet que nous traitons en profondeur dans notre série dédiée à la gouvernance cyber sans complexité. Surveiller ses accès, journaliser ses actions, former ses équipes et tester sa capacité de réponse : ce sont des pratiques accessibles, qui ne requièrent pas des moyens démesurés. Elles requièrent de la méthode.

Cinq mois d'invisibilité dans un système contenant les données de centaines de milliers de jeunes : ce n'est pas une fatalité. C'est le résultat d'un manque de vigilance organisée. Et cela peut changer.