Cyberattaque au lycée Jean-Moulin de Béziers : comment protéger son établissement et assurer la continuité numérique

Ce qu'il s'est passé à Béziers

Selon Midi Libre, les syndicats du lycée Jean-Moulin de Béziers ont alerté sur l'état du parc informatique de l'établissement en cette fin d'année scolaire 2026. Une cyberattaque survenue plusieurs mois plus tôt aurait laissé une grande partie des ordinateurs hors d'usage, s'ajoutant à la vétusté de certains locaux Source. Cette situation illustre la vulnérabilité croissante des établissements publics face aux menaces numériques et soulève la question de la résilience des systèmes d'information dans le secteur éducatif comme dans le tissu économique local.

Comprendre l'impact d'une cyberattaque sur un établissement scolaire

Une intrusion malveillante dans un système d'information scolaire ne se limite pas à l'indisponibilité temporaire de postes de travail. Les conséquences peuvent être systémiques : perturbation des examens et évaluations, perte d'accès aux dossiers administratifs des élèves, interruption des services de vie scolaire (absences, notes, orientation), atteinte aux données personnelles des mineurs et du personnel. Le Règlement général sur la protection des données (RGPD) impose des obligations strictes de notification à la CNIL en cas de violation de données à caractère personnel, sous 72 heures après en avoir pris connaissance. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) qualifie les établissements d'enseignement de « cibles privilégiées » en raison de la richesse de leurs données et de l'hétérogénéité de leurs équipements.

Au-delà de l'impact pédagogique immédiat, une cyberattaque engendre des coûts directs (remise en état, expertise forensic, remplacement de matériel) et indirects (perte de productivité, atteinte à la réputation, accompagnement psychologique des victimes). Pour un lycée de la taille de Jean-Moulin, la surface d'attaque est large : réseau filaire et Wi-Fi, serveurs sur site ou externalisés, postes fixes et mobiles, objets connectés, applications métiers (Pronote, ENT, logiciels de gestion administrative). La complexité de cet écosystème rend la défense en profondeur indispensable.

Obligations légales et cadre réglementaire pour les établissements publics

Les établissements publics locaux d'enseignement (EPLE) relèvent de plusieurs textes fondateurs en matière de sécurité numérique. Le Code de l'éducation (articles L. 421-1 et suivants) confie au chef d'établissement la responsabilité de la sécurité des biens et des personnes, y compris numériques. Le décret n° 2017-1253 du 9 août 2017 relatif à la sécurité des systèmes d'information des administrations de l'État et des organismes publics étend aux EPLE l'obligation de mettre en œuvre une politique de sécurité des systèmes d'information (PSSI). Cette PSSI doit définir les règles d'usage, les procédures de gestion des incidents, la classification de l'information et les mesures de protection adaptées au niveau de sensibilité des données traitées.

La loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire a instauré le régime des opérateurs d'importance vitale (OIV) et des opérateurs de services essentiels (OSE). Si les lycées ne sont pas classés OIV/OSE, ils manipulent néanmoins des données sensibles (données de santé via les infirmeries, données judiciaires via les dossiers disciplinaires, données bancaires pour la restauration). Le Code pénal (articles 323-1 à 323-7) réprime l'accès frauduleux, le maintien frauduleux, l'entrave au fonctionnement et la modification frauduleuse de données dans un système de traitement automatisé de données. En cas de négligence caractérisée dans la protection des données personnelles, la responsabilité de l'établissement peut être engagée devant la CNIL, avec des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel.

Pour les entreprises privées du bassin biterrois, le même socle réglementaire s'applique : RGPD, directive NIS 2 (transposée en droit français par le décret n° 2024-817 du 19 juillet 2024) pour les entités essentielles et importantes, Code de commerce (article L. 232-1) imposant aux dirigeants de mettre en place des dispositifs de prévention et de détection des risques, y compris numériques.

Mesures techniques de prévention et de détection des intrusions

La stratégie de défense repose sur le principe de « défense en profondeur » (defense in depth) recommandé par l'ANSSI. Elle combine mesures organisationnelles, techniques et humaines. Au niveau périmétrique, le déploiement d'un pare-feu nouvelle génération (next-generation firewall) avec inspection TLS, détection d'intrusion (IDS/IPS) et filtrage d'applications constitue la première barrière. La segmentation du réseau en zones de sécurité (administration, pédagogique, technique, invités) limite la propagation latérale d'un attaquant. Chaque zone doit appliquer le principe du moindre privilège : les comptes d'administration de domaine sont distincts des comptes utilisateurs, les mots de passe complexes sont imposés via une stratégie de groupe (GPO), l'authentification multifacteur (MFA) est obligatoire pour tout accès à distance (VPN, messagerie web, interfaces d'administration).

La gestion des correctifs (patch management) est critique. L'ANSSI recommande d'appliquer les correctifs de sécurité critiques sous 30 jours, et sous 7 jours pour les vulnérabilités activement exploitées (CISA Known Exploited Vulnerabilities Catalog). Un inventaire à jour des actifs (CMDB) permet d'identifier les systèmes obsolètes (Windows 7, Server 2008 R2) qui ne reçoivent plus de correctifs et doivent être isolés ou remplacés. La supervision centralisée des journaux (SIEM — Security Information and Event Management) corrèle les événements suspects : connexions inhabituelles, élévation de privilèges, exécution de scripts PowerShell encodés, trafic vers des adresses IP malveillantes connues (threat intelligence).

La sauvegarde suit la règle 3-2-1 : trois copies des données, sur deux supports différents, dont une hors site et immuable (air-gapped ou WORM — Write Once Read Many). Les tests de restauration sont effectués au minimum semestriellement. La protection des postes de travail (EDR — Endpoint Detection and Response) remplace l'antivirus signature seul par une analyse comportementale capable de bloquer les ransomwares en phase de chiffrement. Le durcissement des postes (hardening) désactive les fonctionnalités inutiles (SMBv1, macros Office non signées, PowerShell non contraint) et déploie des règles AppLocker ou WDAC (Windows Defender Application Control) pour n'autoriser que les exécutables signés.

Plan de continuité d'activité et de reprise après sinistre numérique

Un Plan de continuité d'activité (PCA) et un Plan de reprise d'activité (PRA) ne sont pas des options mais des exigences réglementaires pour les services publics. Le référentiel général de sécurité (RGS) et le guide ANSSI « PCA/PRA : guide méthodologique » structurent la démarche. La première étape est l'analyse d'impact sur l'activité (BIA — Business Impact Analysis) : identifier les processus critiques (gestion des notes, inscriptions, paie, restauration), leur temps d'interruption maximal acceptable (RTO — Recovery Time Objective) et la perte de données maximale tolérable (RPO — Recovery Point Objective). Pour un lycée, le processus « épreuves du baccalauréat » a un RTO proche de zéro en période d'examens.

Le PCA définit les modes de fonctionnement dégradé : bascule sur un site de secours, utilisation de procédures papier préétablies, communication vers les familles via canaux alternatifs (SMS, site web hébergé hors infrastructure compromise). Le PRA détaille la reconstruction technique : réinstallation des serveurs à partir d'images de référence (golden images), restauration des données depuis les sauvegardes validées, vérification d'intégrité avant remise en production. Des exercices de crise (table-top exercises) annuels impliquent la direction, le DSI, le RSSI (Responsable de la sécurité des systèmes d'information), le DPO (Délégué à la protection des données) et les référents métiers. Le retour d'expérience (RETEX) post-incident alimente l'amélioration continue.

Pour les PME du territoire, la même logique s'applique à l'échelle de leur cœur de métier. Le dispositif « Mon aide cyber » de l'ANSSI propose un diagnostic gratuit et un plan d'actions priorisé pour les TPE/PME. La plateforme Cybermalveillance.gouv.fr met à disposition des fiches réflexes, un annuaire de prestataires labellisés « ExpertCyber » et un module d'assistance aux victimes.

Sensibilisation et formation : le facteur humain au cœur de la défense

La technique ne suffit pas. Le facteur humain reste la première cause d'intrusion réussie (hameçonnage, ingénierie sociale, mots de passe réutilisés). Une politique de sensibilisation continue, obligatoire pour tous les agents (titulaire, contractuels, stagiaires), doit couvrir : reconnaissance du phishing (spear-phishing, whaling, smishing, vishing), gestion des mots de passe (gestionnaire de mots de passe, interdiction du réemploi professionnel/personnel), signalement d'incident (boîte mail dédiée, procédure claire), règles de nomadisme (chiffrement des portables, VPN obligatoire, verrouillage de session), utilisation des outils collaboratifs (partage de liens à durée limitée, droits minimum).

Des campagnes de simulation de phishing régulières (trimestrielles) mesurent la vigilance sans sanctionner, mais en orientant vers une formation ciblée. L'ANSSI propose le module « SecNumacadémie » (MOOC gratuit) pour acquérir les bases de l'hygiène numérique. Pour les élèves, l'éducation à la citoyenneté numérique (EMI — Éducation aux médias et à l'information) intègre les bonnes pratiques de sécurité : protection de l'identité numérique, gestion de la réputation en ligne, signalement de cyberharcèlement via la plateforme 3018. Le référentiel de compétences numériques (CRCN) inclut la dimension « protéger » (domaine 4).

Ressources et accompagnement officiels pour les structures locales

Face à la montée des menaces, l'État a déployé un écosystème d'appui accessible aux établissements publics et aux entreprises de l'Hérault. L'ANSSI pilote la politique nationale et publie des guides techniques (guide d'hygiène informatique, guide de durcissement Windows/Linux, guide PCA/PRA). Le CERT-FR (Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques) émet des alertes et des avis de vulnérabilité (CERTFR-2024-AVI-XXXX) et peut intervenir en appui technique lors d'incidents majeurs. La gendarmerie nationale dispose de la section de recherches en cybercriminalité (SRC) et de référents cyber dans chaque groupement départemental ; la police nationale anime le réseau des commissariats pour le dépôt de plainte en ligne (THESEE — Traitement harmonisé des enquêtes et des signalements pour les e-infractions).

Au niveau régional, la direction régionale de l'économie, de l'emploi, du travail et des solidarités (DREETS) Occitanie et la direction régionale de l'alimentation, de l'agriculture et de la forêt (DRAAF) relaient les dispositifs d'aide aux collectivités et aux exploitations agricoles. La région Occitanie finance des diagnostics cybersécurité pour les lycées via le schéma régional de développement économique, d'innovation et d'internationalisation (SRDEII). L'académie de Montpellier met à disposition un correspondant académique à la sécurité des systèmes d'information (CASSI) qui conseille les EPLE sur la mise en conformité PSSI.

Pour les entreprises, la CCI Hérault organise des ateliers « Cybersécurité pour dirigeants » et oriente vers les prestataires ExpertCyber. Bpifrance propose le « Diagnostic cyber » (subventionné à 50 % pour les PME/ETI) et le prêt « Cybersécurité » pour financer les investissements de mise en conformité. L'assurance cyber, bien que non obligatoire, devient un levier de transfert de risque : les assureurs exigent un niveau minimal de maturité (MFA, sauvegardes testées, PRA documenté) pour souscrire.

En cas d'incident avéré, la procédure standardisée s'applique : 1) isoler les systèmes compromis sans les éteindre (préservation des preuves volatiles), 2) alerter la hiérarchie, le RSSI, le DPO, 3) déposer plainte (commissariat, gendarmerie ou THESEE), 4) notifier la CNIL si données personnelles concernées (formulaire en ligne), 5) solliciter l'appui du CERT-FR ou d'un prestataire ExpertCyber pour l'analyse forensic, 6) communiquer transparemment vers les parties prenantes (personnel, familles, partenaires), 7) restaurer depuis les sauvegardes saines après nettoyage de l'environnement, 8) réaliser un RETEX et mettre à jour la PSSI.

La cyberattaque du lycée Jean-Moulin rappelle que la résilience numérique ne s'improvise pas. Elle se construit par une gouvernance claire, des investissements récurrents, une formation continue et des exercices réguliers. Chaque établissement, chaque entreprise du bassin biterrois a intérêt à évaluer sa maturité dès aujourd'hui grâce aux ressources gratuites de l'ANSSI et de Cybermalveillance.gouv.fr, avant que l'urgence ne dicte des choix par défaut.