Question de Mme MORIN-DESAILLY Catherine (Seine-Maritime - UC) publiée le 26/03/2026
Question posée en séance publique le 25/03/2026
M. le président. La parole est à Mme Catherine Morin-Desailly, pour le groupe Union Centriste. (Applaudissements sur les travées du groupe UC.)
Mme Catherine Morin-Desailly. Ma question s'adresse à Mme la ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargée de l'intelligence artificielle et du numérique.
Hier, nous avons appris que la base de données Compas, logiciel de ressources humaines du ministère de l'éducation nationale, avait été attaquée, entraînant le piratage de données personnelles d'environ 243 000 agents. Cette cyberattaque est malheureusement l'énième d'une longue liste d'opérations ciblant, au coeur de l'État, nos administrations et nos infrastructures critiques.
Comment expliquer une telle vulnérabilité ? Quelle réponse le Gouvernement compte-t-il apporter à nos concitoyens ? Ceux-ci sont vraiment inquiets de savoir tantôt leur numéro de sécurité sociale, tantôt leur dossier médical, leur adresse, leur numéro de portable ou encore leurs données bancaires partis dans la nature, aux mains de cybercriminels en tout genre ou de puissances étrangères, sans que nous sachions pour quelle utilisation. (Applaudissements sur des travées du groupe UC.)
M. Pierre Ouzoulias. Très bien !
- page 2009
Réponse du Ministère de l'éducation nationale publiée le 26/03/2026
Réponse apportée en séance publique le 25/03/2026
M. le président. La parole est à M. le ministre de l'éducation nationale.
M. Edouard Geffray, ministre de l'éducation nationale. Madame la sénatrice Morin-Desailly, je réponds au nom du Gouvernement, étant donné que vous avez abordé le sujet de Compas.
Cette base de données permet de gérer et d'affecter les professeurs stagiaires. Elle a effectivement été piratée. Les informations de plusieurs années ont été captées : noms, prénoms, adresses et lieux de première affectation.
Quelle est notre réaction dans de telles hypothèses et qu'avons-nous fait en l'espèce ? La détection a eu lieu le 19 mars, l'accès a bien évidemment été fermé immédiatement, une cellule de crise mise en place, la Commission nationale de l'informatique et des libertés (Cnil) notifiée dès le 21 mars, une plainte déposée dès le 24 et les 243 000 personnes concernées seront informées d'ici au 1er avril. Nous disposons donc d'une infrastructure qui permet de réagir.
Comme vous l'avez relevé, cet événement s'inscrit dans un contexte géopolitique. Nous faisons face à des attaques qualifiées d'« hybrides », prenant des formes multiples : attaques en déni de service, visant à bloquer nos outils, piratages au travers de chevaux de Troie... En l'espèce, nous sommes exactement dans cette dernière configuration : un agent ayant accès aux informations a dû ouvrir une pièce jointe frauduleuse dans un mail et ses accès ont été captés par des tiers.
Concrètement, deux actions sont prévues pour les mois à venir.
D'abord, le Gouvernement est en train d'appliquer un plan de sécurisation, à la fois au niveau de mon ministère et de manière interministérielle : double authentification, c'est-à-dire deux niveaux de sécurité au lieu d'un, meilleure compartimentation des différentes données, réduction de l'exposition des applications au nombre d'utilisateurs potentiels.
Ensuite et surtout, une stratégie nationale interministérielle est traduite dans le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Celui-ci vise notamment à transposer la directive européenne NIS 2 (Network and Information Security), laquelle nous permettra à la fois de disposer d'un plan de résilience pour toutes les infrastructures d'importance vitale, de sanctionner ceux qui s'y soustrairaient et de mieux réprimer les pirates. (M. François Patriat applaudit.)
M. le président. La parole est à Mme Catherine Morin-Desailly, pour la réplique.
Mme Catherine Morin-Desailly. Je vous remercie, monsieur le ministre, de vos réponses précises. Je me doutais que vous me parleriez de la transposition de NIS 2 et du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui vise à transposer cette directive dans le droit français.
Toutefois, j'insiste sur le fait que le texte a été voté il y a plus d'un an. Nous nous impatientons, attendant son inscription à l'ordre du jour de l'Assemblée nationale. D'ailleurs, peut-être y croisera-t-il bientôt un autre texte relatif à la cybersécurité, actuellement à l'étude à Bruxelles.
Surtout, je tiens à souligner un angle mort de la stratégie globale que doit mettre en place le Gouvernement : le facteur humain. Source de vulnérabilité, il est au coeur de nombreuses cyberattaques. Il est temps que la montée en compétence numérique de tous soit vraiment érigée au rang de grande cause nationale. Il est urgent que chacun de nos concitoyens et que tous les agents de nos administrations, de nos entreprises et des collectivités territoriales soient cyberformés pour être cyberrésilients, comme y invite d'ailleurs régulièrement la Cnil dans ses recommandations.
J'avais écrit en ce sens au Président de la République en 2019, à la suite de la rédaction du rapport d'information Prendre en main notre destin numérique : l'urgence de la formation. Je n'ai pas reçu de réponse. Mon collègue Olivier Cadic et moi-même avons alors adressé ce courrier à François Bayrou et à Clara Chappaz. En l'état actuel des choses, nous espérons que le Gouvernement se saisira enfin de cette grande cause que sont les compétences numériques. Nous comptons sur vous pour passer le message, monsieur le ministre. (Applaudissements sur les travées du groupe UC.)
- page 2009
Page mise à jour le