Cyberattaque lycées Hauts-de-France : l'attaque au rançongiciel Qilin qui a paralysé plus de 200 établissements
Le 10 octobre 2025, une cyberattaque au rançongiciel a frappé le système d'information des lycées publics des Hauts-de-France. Près de 80 % des établissements, soit plus de 200 lycées sur les 269 que compte la région, ont vu leurs réseaux coupés, leurs ordinateurs bloqués et l'accès à internet suspendu du jour au lendemain.
C'était du ransomware classique dans sa mécanique, mais d'une ampleur rare dans l'Éducation nationale. Le groupe derrière l'attaque, Qilin, a revendiqué l'exfiltration de plus d'un téraoctet de données. La Région a tout de suite refusé de payer la rançon. Des mois plus tard, la cicatrice reste visible.
Comment tout a basculé en une seule journée
L'attaque n'a pas nécessité de prouesse technique spectaculaire. Quelqu'un a ouvert une pièce jointe piégée. Avec plus de 200 000 utilisateurs sur le réseau régional, il suffit d'une erreur humaine. Le système centralisé déployé récemment par la Région a fait le reste : une fois à l'intérieur, le rançongiciel s'est propagé largement parce que les environnements n'étaient pas suffisamment compartimentés.
Les lycées qui avaient conservé leurs anciens serveurs locaux de type Kwartz ont été épargnés. Les autres ont basculé en mode dégradé total. Plus de vidéoprojecteurs, plus de photocopieurs connectés, plus de cartes de cantine, plus de paiements en ligne. Les équipes administratives se sont retrouvées à tout faire à la main, comme au siècle dernier.
Le quotidien des établissements : retour au stylo et à la photocopie
Dans les jours qui ont suivi, les proviseurs et les gestionnaires ont reçu l'ordre d'éteindre tout ce qui était informatique. Les cours de NSI, de STI2D, de SNT ou d'économie-gestion sont devenus très compliqués. Les professeurs de SVT et de physique-chimie n'arrivaient plus à préparer correctement les épreuves pratiques d'ECE, dont 90 % des productions sont numériques. Certains élèves ont dû ramener leur ordinateur personnel. D'autres ont continué sur papier, avec tout ce que ça implique de lenteur et de démotivation.
Les secrétaires d'intendance ont vécu des semaines très dures. Absence de base de données, plus moyen de gérer les sorties, les bourses, les commandes. Plusieurs témoignages parlent de collègues en larmes face à l'impossibilité de faire leur travail correctement. La charge mentale a été réelle, et elle s'est ajoutée à une surcharge administrative déjà importante.
Les données volées et les risques qui persistent
Dès le 17 octobre, la Région et les rectorats ont prévenu les établissements : des données personnelles avaient été accessibles, voire exfiltrées. Copies de cartes d'identité, passeports, CV, relevés de notes… La notification à la CNIL a été faite, comme l'exige la loi. Les usagers ont reçu des consignes de vigilance : changer les mots de passe, surveiller les relevés bancaires, se méfier des tentatives de phishing.
On ne sait toujours pas précisément l'ampleur exacte des données compromises. L'enquête, menée par la gendarmerie et suivie par le parquet de Paris, se poursuit. Ce flou est frustrant pour les familles et les personnels, surtout quand on sait que des organisations criminelles revendent parfois ce genre de données sur des forums spécialisés.
La réponse des autorités et les mois de restauration
Une cellule de crise a été activée immédiatement, avec la Région, les académies de Lille et d'Amiens, l'ANSSI et des experts d'Orange Cybersécurité. Priorité : sécuriser, diagnostiquer, puis reconstruire.
La restauration s'est faite par phases. Les outils administratifs ont été remis en état en priorité dans la quasi-totalité des lycées d'ici fin octobre. La partie pédagogique a pris plus de temps : serveurs à reconstruire, postes à réinstaller par lots, tests dans des établissements pilotes. Fin novembre, l'accès internet restait très partiel dans beaucoup d'endroits.
En janvier 2026, les serveurs étaient globalement reconstruits, mais des dizaines d'établissements fonctionnaient encore avec des bases de données partielles. Certains collègues n'avaient toujours pas retrouvé leurs identifiants ou leur espace de stockage personnel. Les CDI peinaient à gérer leurs prêts. Et en mai 2026, le ministère a dû publier des décrets spécifiques pour adapter les épreuves du bac technologique dans la région, tellement les systèmes informatiques n'étaient pas encore totalement fiables pour les examens pratiques.
La Région a annoncé fin 2025 un plan d'investissement exceptionnel de 22,5 millions d'euros : renouvellement de milliers d'ordinateurs incompatibles avec Windows 11, renforcement de la sécurité, et prise en charge des surcoûts de crise. C'est concret, mais ça ne règle pas tout.
Ce que cette cyberattaque lycées révèle sur la cybersécurité dans l'Éducation
Le premier enseignement est presque banal, mais il reste crucial : le facteur humain reste la porte d'entrée la plus fréquente. Sensibilisation, formation régulière, exercices de phishing… on en parle beaucoup, mais la mise en œuvre reste inégale.
Le deuxième point est plus structurel. La centralisation des systèmes d'information facilite la maintenance et les mises à jour, c'est indéniable. Mais elle crée aussi un point de défaillance unique. Quand tout passe par un même socle, une compromission peut toucher des centaines d'établissements en même temps. Les syndicats enseignants n'ont pas manqué de le souligner : certains lycées qui avaient gardé une architecture plus locale s'en sont mieux sortis.
Troisième leçon : la restauration après ransomware est longue, coûteuse et jamais parfaite. Même avec une bonne cellule de crise et des moyens mobilisés, il faut des mois pour revenir à un fonctionnement normal. Et les examens, eux, n'attendent pas.
Ce que les autres établissements peuvent en retenir
Aucune structure n'est à l'abri. Les lycées, les collèges, les universités, les services administratifs de l'Éducation nationale sont des cibles attractives : données personnelles en volume, budgets parfois limités pour la cybersécurité, et une dépendance croissante aux outils numériques.
Les bonnes pratiques de base restent valables : sauvegardes testées et hors ligne, segmentation réseau quand c'est possible, principe du moindre privilège, réponse aux incidents documentée et entraînée. Et surtout, ne jamais baisser la garde sur la sensibilisation des utilisateurs, même (et surtout) quand le système centralisé semble "sécurisé" par ailleurs.
Cette cyberattaque lycées des Hauts-de-France n'est pas un cas isolé. Elle illustre simplement à grande échelle ce que beaucoup d'équipes techniques savent déjà : dans l'Éducation comme ailleurs, la résilience se construit avant l'attaque, pas seulement après. Et quand ça arrive, la transparence, la réactivité et la capacité à tenir sur la durée font toute la différence.