Quel est l’état de la menace sur nos ENT ?
Les attaquants, par le biais par exemple de campagnes de phishing ou de techniques plus sophistiquées, tentent de compromettre régulièrement des comptes d’usagers afin d’accéder aux ENT. Une fois un ou plusieurs comptes compromis, l’envoi de messages malveillants (alertes à la bombe, menaces terroristes, appels à la haine...) peut alors être opéré par les pirates, visant à désorganiser nos établissements scolaires. Les conséquences sont souvent graves, entraînant la fermeture de la messagerie ou l’évacuation d’établissements par exemple.
Dans de très nombreux cas, les victimes ont fait l’objet d’un piratage de leur compte ENT via des logiciels malveillants appelés "virus stealers" [1] ou "info stealers". Ces "malwares" [2] sont installés à l’insu des utilisateurs, sur la machine de ceux-ci à l’occasion du téléchargement de logiciels piratés (jeux, utilitaires …) ou de la fréquentation de sites illégaux de streaming (vidéos, musiques…) par exemple. Les forums « Discord » très populaires dans la communauté des joueurs de jeux vidéo sont également des vecteurs facilitant la propagation de ce type de virus : les élèves y sont donc particulièrement exposés.
Ces " stealers" une fois installés sur une machine, récupèrent les identifiants de connexion de tous les sites auxquels la victime accède et alimentent, d’une manière automatisée, des bases de données sur le "Darknet" [3] pour le compte des pirates. En l’absence de protection antivirus efficace ou d’autorisations données à mauvais escient par l’utilisateur, ces “malwares” s’installent à bas bruit, sur les machines des victimes, et occasionnent de sérieux dégâts sur nos ENT en compromettant de nombreux comptes d’enseignants, d’élèves ou de parents. Cela ouvre la porte à l’envoi en masse de messages malveillants par des personnes mal intentionnées.
La compromission d’un seul compte peut avoir des répercussions importantes pour l’ensemble de la communauté éducative.
Pourquoi réaliser un exercice de sécurité numérique ?
Afin d’augmenter la résilience de nos systèmes d’information, victimes quotidiennement d’attaques d’envergure, nous devons faire preuve de solidarité en renforçant chacun des maillons humains constitutifs de la chaîne numérique. La prise de conscience qui doit s’opérer, tant au niveau collectif qu’individuel, nécessite la mise en œuvre d’exercices, grandeur nature, à l’instar de ceux pratiqués lors des PPMS (plan particulier de mise en sûreté) afin que les utilisateurs s’entraînent à développer les bons réflexes.
À cette fin, le ministère de l’Éducation nationale, l’académie de Versailles (DRASI et DRANE), des collectivités (région Ile-de-France et conseils départementaux du 78 et 91) et différents acteurs institutionnels (parquet de Paris - section J3 ; cybermalveillance.gouv.fr ; commandement de la cyberdéfense du ministère de l’Intérieur - COMCYBER-MI), ont organisé, pour la deuxième année consécutive, du 19 au 21 mars, un exercice de sécurité numérique intitulé CACTUS à destination des élèves de collèges et de lycées. Celui-ci s’appuyait sur une simulation de campagne d’hameçonnage (phishing) via un faux compte de messagerie de l’ENT. Le contenu du message piégé incitait les élèves à se rendre sur un site pour télécharger gratuitement des "jeux vidéo premium".
Le lien piégé renvoyait en réalité vers une page de sensibilisation hébergée sur le site cybermalveillance.gouv.fr
Cette page comporte, entre autres, une courte vidéo (1min 15s) de prévention mettant en scène un gendarme, par ailleurs champion de e-sport et la cheffe de la section J3 du parquet de Paris, spécialisé dans la lutte contre la cybercriminalité.
Quels sont les bons réflexes à mettre en œuvre ?
Cet exercice de sécurité numérique était l’occasion d’engager un dialogue entre les élèves et les équipes éducatives afin d’adopter les bons gestes dans le cadre d’une simulation de campagne de phishing, première source de piratage des identifiants de connexion des comptes en ligne.
Dans ce type de situation, il convenait d’abord de rassurer les élèves et les parents en leur donnant quelques conseils permettant de mobiliser la chaîne d’alerte suivante :
– 1 Ne pas cliquer sur le lien ou la pièce jointe figurant dans le message.
– 2 Informer un enseignant du caractère suspect du message.
– 3 Rendre compte au chef d’établissement.
– 4 Prendre une capture d’écran du message afin d’identifier l’expéditeur, l’objet, la date et l’heure d’envoi une fois la nature suspecte du message avérée.
Une fois ceci fait, et si il ne s’agit pas d’un exercice, le chef d’établissement déclare dans les meilleurs délais l’incident de sécurité au RSSI de l’académie via la plateforme ARIANE (Assistance et Conseil > CARIINA et moi > Incident de sécurité) en fournissant les preuves collectées.
À l’instar des PPMS, d’autres exercices de ce type seront à l’avenir régulièrement proposés afin d’entraîner la communauté éducative à mettre en œuvre les bons gestes pour répondre efficacement aux menaces en ligne.

Un élève d’un collège des Yvelines découvrant le message de phishing de l’opération CACTUS.
CACTUS : un kit de sensibilisation clé en main à mobiliser avec les élèves
Dans le prolongement de cette action de sensibilisation nationale à grande échelle, nous encourageons les équipes de direction, en lien avec les conseillers de bassin pour le numérique de la DRANE et les référents pour les ressources et usages pédagogiques numériques (RRUPN), à poursuivre l’acculturation à la cybersécurité lors de séances dédiées.
A cette fin, le comité de pilotage national de l’opération CACTUS met à disposition un kit d’activités clés en main, permettant aux enseignants d’aborder en classe, avec les élèves, les problématiques de la sécurité numérique dans un établissement scolaire et à la maison.
Opération CACTUS : on en parle dans les médias
- Pour lutter contre les cyberattaques sur les ENT, l’Éducation nationale lance l’"opération CACTUS"
- Des collégiens piégés ! Qu’est-ce que l’opération CACTUS ?
- Des jeux crackés et des chats gratuits : comment les autorités ont tenté de piéger des collégiens ?
- Suite à la vague d’hameçonnage des ENT dans les écoles, les autorités lancent l’opération CACTUS
- Le journal de 7h, le tour de l’actualité en moins d’un 1/4 d’heure (début 10’20’’ - fin 11’44’’)
- 10 secondes pour décider" : c’est quoi l’opération Cactus, qui a eu lieu dans tous les collèges et lycées ?
- Opération Cactus : quand l’éducation nationale piège ses élèves
- Sensibilisation des jeunes à la cybersécurité : la CNIL engagée dans l’Opération CACTUS
Quelques ressources utiles
Pour sensibiliser :
- Sensibilisation à la cybersécurité
- Les BD de sensibilisation produites par la DSI
- Le cyberguide famille
- La fiche cyber réflexes de la CNIL
- Opération CACTUS : sensibiliser à l’hameçonnage sur les ENT-
Pour se former :
Pour s’acculturer :
- Les mots de passe
- Le phishing (hameçonnage)
- Le smishing (hameçonnage par sms)
- Les virus stealers
- Les techniques d’attaques les plus répandues

Titre : Comment lutter contre le piratage informatique ?
Fais les mises à jours de sécurité de tes appareils.
Ne télécharge rien depuis des sites non-officiels.
Méfie-toi des messages inattendus contenant des liens.
Utilise un antivirus à jour, sans jamais le désactiver.
N’utilise pas le même mot de passe partout.
N’enregistre pas ton mot de passe sur des ordinateurs partagés.
Imagine des mots de passe robuste et active l’authentification renforcée.