Cyberattaque des lycées en Hauts-de-France : retour sur l'attaque au rançongiciel d'octobre 2025

6 juillet 2026
Cyberattaque des lycées en Hauts-de-France : retour sur l'attaque au rançongiciel d'octobre 2025

Le 10 octobre 2025, une cyberattaque au rançongiciel a frappé le système d'information des lycées publics de la région Hauts-de-France. Près de 80 % des établissements – plus de 200 sur les 269 que compte la région – ont été touchés. Les pirates du groupe Qilin ont chiffré des données et revendiqué l'exfiltration d'environ un téraoctet, dont des documents d'identité et des relevés de notes. La Région a refusé de payer, comme il faut le faire dans ces cas-là. Plainte déposée, enquête en cours au parquet de Paris, et des mois plus tard les conséquences continuent de se faire sentir, y compris sur les examens du bac 2026.

Comment tout a commencé ce vendredi 10 octobre

Ce jour-là, les équipes techniques repèrent très vite que quelque chose cloche. L'accès aux réseaux et à internet est coupé dans les lycées concernés pour limiter la propagation. Très rapidement, on comprend qu'il s'agit d'un ransomware classique : les données sont verrouillées, et les attaquants sortent avec un beau paquet de données personnelles. La CNIL est notifiée, les familles et le personnel reçoivent des messages d'alerte sur les risques d'usurpation d'identité ou de phishing. Changement de mots de passe obligatoire, vigilance sur les relevés bancaires, et prudence face aux messages suspects.

Dès les premiers jours, une cellule de crise se met en place avec la Région, les rectorats de Lille et d'Amiens, l'ANSSI et des experts d'Orange Cybersécurité. Les réunions sont quotidiennes au début, puis trois fois par semaine. La Gendarmerie mène l'enquête sur l'ampleur exacte des données compromises.

Ce que ça a changé au quotidien dans les établissements

Le truc, c'est que quand 80 % des lycées perdent leurs outils numériques en même temps, tout devient manuel. Absences, cantine, bourses : on revient aux feuilles de papier et aux tableaux Excel bricolés. Les vidéoprojecteurs et certaines cartes de cantine ne marchent plus non plus. Pour les matières qui dépendent vraiment de l'informatique – NSI, SNT, STI2D – les cours pratiques s'arrêtent net. Des établissements ont dû emprunter des serveurs à des collèges voisins pour limiter la casse.

Le personnel a tenu le coup, mais le stress a été réel et les coûts en photocopies ont grimpé. Les proviseurs et les enseignants ont reçu des kits de reprise et des guides de continuité pédagogique, mais clairement, ce n'était pas la même chose qu'avant. L'enseignement a continué, tant bien que mal, mais avec des trous et des adaptations au cas par cas.

La remise en état : un chantier qui a pris du temps

Fin octobre 2025, les outils administratifs sont à peu près revenus dans la quasi-totalité des lycées. Pour la partie pédagogique, c'est plus long. Internet reste très partiel dans plus de la moitié des établissements jusqu'à fin novembre. En janvier 2026, la restauration complète des postes et serveurs n'est toujours pas terminée. Les serveurs constituent la dernière étape, et certains établissements ont dû fonctionner avec des solutions de dépannage pendant des semaines.

22,5 millions d'euros pour reconstruire et sécuriser

Face à l'ampleur, la Région a voté fin 2025 un budget exceptionnel de 22,5 millions d'euros. Dès le 27 novembre, 3,25 millions sont engagés pour protéger les postes et serveurs en temps réel et garantir les sauvegardes. En décembre, 19,25 millions supplémentaires viennent compléter l'enveloppe.

Le plan prévoit la reconstruction complète des infrastructures numériques, un renforcement des équipements de sécurité aligné sur les recommandations de l'ANSSI, et surtout le remplacement de 30 000 ordinateurs obsolètes par du matériel nouvelle génération compatible avec l'architecture revue. Plus de 10 millions d'euros rien que pour le parc informatique. Les 250 serveurs sont remis en état et sécurisés, avec des travaux qui devaient s'achever autour de fin janvier 2026. L'objectif : ne plus jamais se retrouver dans la même situation.

Ce que cet incident révèle sur la cybersécurité dans l'éducation

Franchement, cette affaire met en lumière des faiblesses qu'on voit trop souvent dans le secteur public. Un système d'information centralisé au niveau régional crée un point de défaillance unique : quand ça tombe, c'est des centaines d'établissements en même temps. Les sauvegardes n'étaient manifestement pas assez isolées ou testées pour permettre une restauration rapide sans tout reconstruire de A à Z.

Qilin cible régulièrement des collectivités et des établissements scolaires parce que les données y sont nombreuses et sensibles, et que la pression pour maintenir le service public est forte. Refuser de payer la rançon était la bonne décision, et la collaboration avec l'ANSSI et des experts privés a été réactive. Mais ça montre qu'il faut investir en amont : segmentation des réseaux, backups immuables hors ligne, formation régulière des équipes, et une architecture plus résiliente. Sinon, on reste vulnérable à la prochaine vague.

Les traces qui restent en 2026, notamment au bac

En mai 2026 encore, les effets se font sentir sur les examens. Deux décrets ministériels ont adapté les conditions du bac technologique pour la session 2026. Si un candidat ne peut pas passer certaines épreuves ou parties d'épreuves à cause des problèmes de système, la note peut s'appuyer sur la moyenne annuelle. Pour les spécialités STI2D et NSI, si l'épreuve pratique ne peut pas se tenir, elle devient uniquement écrite pour les concernés. C'est une mesure de protection pour les élèves, mais ça reste le signe que la crise n'est pas totalement derrière nous.

Bref, cette cyberattaque des lycées en Hauts-de-France restera un cas d'étude sur les défis concrets de la cybersécurité dans l'enseignement public. Elle force à repenser en profondeur comment on protège les outils dont dépendent des milliers d'élèves et de personnels au quotidien. La région a réagi avec détermination et moyens, mais l'épisode rappelle qu'en cybersécurité, la prévention et la résilience valent toujours mieux que la réparation, même quand elle est bien menée.

Nous sommes une équipe d'experts passionnés, convaincus que la sécurité informatique est devenue un enjeu majeur et stratégique pour toutes les organisations, quels que soient leur taille et leur secteur d'activité.
Partager cet article:
Top