Ce qui vient d’être révélé dépasse le simple incident technique. Près de 243.000 agents de l’Éducation nationale ont vu leurs données personnelles compromises après une intrusion sur la plateforme « Compas », logiciel interne dédié à la gestion des ressources humaines. Noms, prénoms, adresses postales, numéros de téléphone, mais aussi des éléments relatifs à leurs absences : un volume considérable d’informations sensibles a été exposé.

L’attaque remonte au 15 mars, mais n’a été détectée que quatre jours plus tard. Quatre jours pendant lesquels les données ont pu être copiées, exploitées, revendues. Ce délai, à lui seul, suffit à poser une question simple : comment un système d’État, centralisé, contenant des informations aussi critiques, peut-il rester vulnérable si longtemps sans alerte immédiate ?

Une vulnérabilité structurelle des systèmes publics

Le plus inquiétant n’est pas tant l’existence d’une cyberattaque – aucune organisation n’y échappe totalement – que la répétition de ces failles au sein des structures publiques françaises. Année après année, les incidents se multiplient, touchant hôpitaux, collectivités, administrations, et désormais le cœur même de l’Éducation nationale.

Les mêmes éléments reviennent systématiquement : systèmes vieillissants, mises à jour tardives, cloisonnement insuffisant des bases de données, supervision imparfaite. À cela s’ajoute une réalité souvent passée sous silence : l’État peine à recruter et retenir des experts en cybersécurité au niveau du secteur privé.

Le résultat est brutal. Les infrastructures censées protéger les citoyens deviennent elles-mêmes des points d’entrée pour des acteurs malveillants.

Des données déjà en circulation

Selon les informations communiquées, un échantillon des données piratées a déjà été mis en ligne sur des plateformes de revente, par un groupe se présentant sous le pseudonyme « Hexdex ». Autrement dit, nous ne sommes plus au stade du risque, mais bien dans celui de la diffusion effective.

Derrière ces chiffres, il y a des individus. Des enseignants, des personnels administratifs, des tuteurs, dont les coordonnées peuvent désormais circuler librement. Cela ouvre la porte à des campagnes de phishing ciblé, à des usurpations d’identité, voire à des formes de pression ou de harcèlement.

Une réponse administrative attendue, mais insuffisante

Comme souvent, la réaction suit un schéma bien rodé : suspension de l’accès au système, saisine de l’Anssi, information de la Cnil, dépôt de plainte. Des mesures nécessaires, mais qui interviennent après coup.

Rien, dans ces annonces, ne permet de rassurer pleinement sur la capacité à prévenir la prochaine attaque. Rien n’indique que les failles structurelles sont corrigées en profondeur. Et surtout, rien ne répond à la question essentielle : pourquoi ces systèmes restent-ils aussi exposés ?

Une rupture de confiance en gestation

À force de répétition, ces incidents cessent d’être perçus comme des accidents. Ils dessinent une tendance. Et cette tendance est dangereuse : elle érode la confiance.

Car les citoyens n’ont pas le choix. Ils sont contraints de confier leurs données à l’administration, qu’il s’agisse de leur santé, de leur fiscalité, de leur carrière. Ce transfert de confiance suppose une contrepartie claire : la protection.

Or, lorsque l’État faillit à cette mission, c’est le contrat implicite qui vacille.

Le risque d’un retournement

Il existe une ligne invisible que les institutions auraient tort de franchir. Celle où l’accumulation des défaillances transforme l’indignation diffuse en exigence concrète de comptes.

Un jour, la question pourrait ne plus être seulement technique ou politique, mais juridique. Des milliers, voire des centaines de milliers de Français pourraient considérer que l’État, en tant que détenteur de leurs données, a manqué à son obligation de sécurité.

Et ce jour-là, ce ne sont plus seulement des communiqués et des enquêtes internes qui seront attendus, mais des responsabilités clairement établies, et potentiellement des réparations.

Car à mesure que les données deviennent le prolongement de l’identité, leur protection cesse d’être un simple enjeu administratif. Elle devient une exigence fondamentale.