Un incident de sécurité majeur a été révélé par le ministère de l’Enseignement supérieur : les données personnelles d’environ 705 000 candidats occitans des sessions Parcoursup 2023 et 2025 ont été exfiltrées. Une cyberattaque survenue en 2025, mais détectée seulement en mars 2026.
Un nouvel épisode de cybersécurité vient ébranler la plateforme Parcoursup. Dans un communiqué publié ce jeudi 23 avril, le ministère de l’Enseignement supérieur a confirmé qu’un incident avait affecté les données personnelles de centaines de milliers de candidats, principalement liés à la région Occitanie.
Une intrusion via un compte légitime
Selon les éléments officiels, l’attaque remonte à octobre 2025, mais elle n’a été détectée qu’en mars 2026, à la suite d’un signalement. Le piratage n’est pas dû à une faille technique directe de la plateforme, mais à l’utilisation frauduleuse d’identifiants légitimes permettant d’accéder à un module de gestion réservé aux personnels de la région académique Occitanie.
Grâce à cet accès détourné, les auteurs ont pu procéder à une exfiltration de données personnelles, c’est-à-dire un transfert non autorisé d’informations hors du système.
705 000 candidats concernés
Le volume de données touchées est particulièrement important : environ 705 000 candidats sont concernés.
Il s’agit de dossiers liés à des sessions déjà closes, notamment celles de 2023 et 2025, concernant des candidats résidant en Occitanie ou ayant formulé des vœux dans cette région.
Parmi les informations potentiellement compromises figurent :
- les noms et prénoms,
- les dates de naissance,
- les coordonnées (adresse, email, téléphone),
- et certaines données liées au parcours scolaire.
En revanche, aucune mention n’a été faite d’un accès aux mots de passe.
Face à la gravité de la situation, le ministère affirme avoir pris plusieurs mesures :
- notification de la CNIL (Commission nationale de l’informatique et des libertés),
- dépôt de plainte auprès du parquet de Paris,
- information directe des candidats concernés.
Les autorités indiquent également travailler à renforcer la sécurité des systèmes afin de limiter les conséquences de cet incident et éviter toute nouvelle intrusion.
Dans le même temps, les usagers sont invités à la vigilance, notamment face aux risques de phishing (tentatives d’escroquerie par email ou SMS utilisant les données récupérées).
Une plateforme sous pression
Créée en 2018, Parcoursup est aujourd’hui le passage obligé pour des centaines de milliers de lycéens souhaitant accéder à l’enseignement supérieur en France.
Si la plateforme n’est pas directement mise en cause dans cette intrusion, cet épisode relance les interrogations autour de la sécurité des données personnelles dans les services publics numériques.
D’autant que ce n’est pas la première alerte : par le passé, plusieurs incidents, de moindre ampleur, avaient déjà soulevé des questions sur la protection des informations sensibles des candidats.
Pour les candidats concernés, l’impact immédiat reste limité, mais les risques indirects sont bien réels. Avec des données personnelles en circulation, les autorités redoutent des tentatives d’usurpation d’identité ou d’arnaques ciblées.
Le ministère appelle donc à adopter quelques réflexes simples :
- ne pas cliquer sur des liens suspects,
- vérifier l’origine des messages reçus,
- signaler toute tentative frauduleuse.
Au-delà de cet incident, cette affaire rappelle surtout une réalité : à l’heure de la numérisation massive des démarches administratives, la question de la cybersécurité devient un enjeu central pour la confiance des usagers.