Cyberattaque massive : 80 % des lycées des Hauts-de-France paralysés par le rançongiciel Qilin
Vendredi 10 octobre 2025, une cyberattaque d'ampleur inédite a frappé le système éducatif français. Le groupe cybercriminel russophone Qilin a paralysé 80 % des lycées publics des Hauts-de-France avec un rançongiciel dévastateur. 269 établissements touchés, 60 000 machines à nettoyer, 1 To de données sensibles volées. La plus grande attaque jamais menée par ce groupe. Analyse d'une crise majeure.
Chronologie de l'attaque
L'attaque a frappé le vendredi 10 octobre 2025, juste avant les vacances de la Toussaint. Un timing stratégique qui a permis aux cybercriminels de maximiser leur impact tout en compliquant la réponse des équipes techniques. Retour sur les événements.
📅 Les événements clés
Détection de l'attaque
80% des lycées publics perdent l'accès aux réseaux et à internet. Les équipes techniques suspendent immédiatement tous les systèmes pour contenir la propagation.
Cellule de crise activée
La Région mobilise Orange Cyberdéfense, l'ANSSI et la gendarmerie. Une plainte est déposée. Première communication officielle : « incident de cybersécurité ».
Qilin revendique l'attaque
Sur son site vitrine du darkweb, le groupe Qilin publie des preuves : captures d'écran de documents internes et pièces d'identité. Revendication du vol d'1 To de données.
Consigne : ordinateurs éteints
La Région demande aux établissements de maintenir tous les ordinateurs éteints « afin d'éviter toute propagation et de ne pas retarder le retour à la normale ».
Réunion recteurs
Réunion en présence des recteurs d'Amiens et de Lille. Consigne répétée : n'utiliser ni matériel professionnel ni personnel sur les réseaux des établissements.
Course contre la montre
Les 5 255 postes administratifs sont traités. Les 55 000 ordinateurs pédagogiques restent hors service. La rentrée de la Toussaint approche.
Timing stratégique : L'attaque a eu lieu un vendredi, juste avant les vacances scolaires. Une tactique classique des groupes cybercriminels pour maximiser la pression sur les victimes et compliquer la réponse technique, les équipes étant en effectif réduit pendant les congés.
Impact et données volées
L'ampleur de l'attaque est considérable. Selon les revendications de Qilin, environ 1 To de données (1000 Go) ont été exfiltrées des serveurs des lycées. Ces données contiennent des informations sensibles concernant les élèves, leurs parents et le personnel éducatif.
💥 Bilan de l'attaque
⚠️ Données compromises selon Qilin
Pièces d'identité
Passeports et CNI (français, américains, sénégalais)
Relevés de notes
Bulletins scolaires et évaluations des élèves
Rapports d'incidents
Documents disciplinaires et incidents scolaires
CV et documents RH
Informations personnelles du personnel
Il est raisonnable de considérer que ces données sont menacées, car il y a un risque d'usurpation d'identité.
Rédacteur en chef de LeMagIT, spécialiste des rançongiciels
Ce qui n'a PAS été touché
Bonne nouvelle relative : les Environnements Numériques de Travail (ENT) n'ont pas été affectés. Ces plateformes, essentielles pour la communication entre enseignants, élèves et parents, fonctionnent sur une infrastructure séparée. L'attaque a « essentiellement ciblé des données techniques », selon les premières analyses de la Région.
Système isolé : Le système d'information des lycées est totalement indépendant du système d'information du Conseil régional. Cette séparation a permis de limiter la propagation de l'attaque aux seuls établissements scolaires.
Qui est le groupe Qilin ?
Qilin n'est pas un groupe de pirates informatiques ordinaire, mais une « franchise » cybercriminelle qui met à disposition ses outils et son infrastructure à des affiliés en échange d'une part des profits. Un modèle économique redoutablement efficace qui en fait l'une des menaces les plus actives de 2025.
🐉 Fiche d'identité : Qilin Ransomware
Qilin (ex-Agenda)
Groupe cybercriminel russophone opérant en Ransomware-as-a-Service (RaaS)
Le modèle de la « franchise » criminelle
Qilin fonctionne sur un modèle de Ransomware-as-a-Service (RaaS). Concrètement, les développeurs de Qilin mettent à disposition leur logiciel malveillant, leur infrastructure technique et leurs services de négociation à des « affiliés » qui mènent les attaques. En échange, les affiliés reversent 15 à 20 % des rançons perçues au groupe Qilin.
Double extorsion
Partage des profits
Zones épargnées
France : 2ème pays le plus touché
Selon les données de ZATAZ, 24 % des cyberattaques contre les entreprises françaises en 2025 sont attribuées à Qilin. La France est le deuxième pays le plus touché après les États-Unis. Le secteur de l'éducation est particulièrement visé : +48 % d'attaques en Europe par rapport à 2024, selon l'expert Karim Hamia.
🎯 Autres victimes notables de Qilin
C'est l'une des deux franchises les plus visiblement actives actuellement, avec Akira. Qilin respecte aussi une certaine confidentialité : c'est très compliqué d'avoir accès aux négociations entre le pirate et sa victime.
Fondateur de ransomware.live, réserviste cybersécurité
Alliance dangereuse : En septembre 2025, Qilin a scellé une alliance avec LockBit et DragonForce pour partager infrastructures, outils et canaux d'extorsion. Cette coalition pourrait relancer une dynamique offensive à grande échelle, rappelant l'alliance LockBit-Maze de 2020 qui avait popularisé la double extorsion.
Réponse et mobilisation
Dès la détection de l'attaque, la Région Hauts-de-France a activé une cellule de crise conjointe avec les autorités académiques. 177 agents ont été mobilisés pour sécuriser les infrastructures et nettoyer les machines infectées. La doctrine française est claire : ne jamais payer de rançon.
🛡️ Mobilisation en cours
Région Hauts-de-France
Cellule de crise, 177 agents mobilisés, coordination générale
Orange Cyberdéfense
Expertise technique, analyse forensique, remédiation
ANSSI
Agence nationale de sécurité, recommandations, support
Gendarmerie nationale
Enquête judiciaire, identification des auteurs
Rectorats Amiens & Lille
Coordination pédagogique, communication établissements
Plainte déposée
Procédure judiciaire en cours contre X
Priorité au parc administratif
Face à l'urgence de la rentrée, les équipes ont choisi de traiter en priorité les 5 255 postes administratifs. Objectif : permettre aux établissements de fonctionner pour les tâches essentielles (gestion des absences, commandes, factures) dès la rentrée de la Toussaint.
Parc administratif
Parc pédagogique
Doctrine française : La France ne paie pas de rançon aux groupes cybercriminels. Cette position, rappelée par l'ANSSI, vise à ne pas alimenter l'économie criminelle et à décourager les futures attaques. Qilin n'a d'ailleurs pas publié de compte à rebours, signe que les négociations sont considérées comme terminées.
Conséquences pour les lycées
Depuis l'attaque, les enseignants et personnels des deux académies travaillent dans des conditions « totalement dégradées ». L'impossibilité d'accéder aux outils informatiques oblige à réadapter les cours au jour le jour, avec des solutions de fortune.
Mode dégradé
Impact pédagogique
Pour les victimes
Nous attendons une réponse efficace de la Région et des rectorats pour que nous puissions à nouveau accomplir notre mission d'enseignement dans des conditions adaptées et efficaces.
Représentant SNES-FSU
Pourquoi le secteur éducatif est-il ciblé ?
Le secteur de l'éducation est une cible privilégiée des cybercriminels pour plusieurs raisons : « surface d'attaque » importante (nombreux utilisateurs, équipements variés), moyens de cybersécurité souvent limités par rapport au secteur privé, et données personnelles sensibles (mineurs, familles).
+48 % d'attaques : Selon l'expert Karim Hamia, les attaques de type ransomware contre le secteur de l'éducation en Europe ont augmenté de 48 % par rapport à 2024. Les établissements scolaires cumulent les facteurs de risque : large parc informatique, budgets cybersécurité réduits, utilisateurs peu formés aux menaces.
Que faire si vos données sont concernées ?
Si vous êtes élève, parent ou personnel d'un lycée des Hauts-de-France, vos données personnelles pourraient avoir été compromises. Voici les précautions à prendre :
🔐 Mesures de protection recommandées
Changer vos mots de passe
Tous les comptes liés à l'établissement, email compris
Vigilance emails
Méfiance accrue envers les emails suspects, vérifier les expéditeurs
Surveiller vos comptes
Banque, assurance, administration : alerter en cas d'anomalie
Activer la double authentification
Sur tous vos comptes sensibles (email, banque, réseaux sociaux)
❓ Questions fréquentes
Qu'est-ce qui s'est passé dans les lycées des Hauts-de-France ?
Le 10 octobre 2025, une cyberattaque massive a paralysé 80 % des lycées publics de la région Hauts-de-France (269 établissements). Le groupe cybercriminel Qilin a déployé un rançongiciel qui a chiffré les données et coupé l'accès aux réseaux et à internet. Les pirates revendiquent le vol d'1 To de données sensibles.
Qui est le groupe Qilin ?
Qilin est un groupe cybercriminel russophone apparu en juillet 2022 (initialement sous le nom « Agenda »). Il opère selon un modèle de « franchise » (Ransomware-as-a-Service) où des affiliés paient pour utiliser leurs outils. Qilin pratique la double extorsion : chiffrement des données ET menace de divulgation si la rançon n'est pas payée.
Quelles données ont été volées ?
Selon les revendications de Qilin, environ 1 To (1000 Go) de données ont été exfiltrées : pièces d'identité (françaises, américaines, sénégalaises), relevés de notes, CV, rapports d'incidents scolaires et documents administratifs. Ces données concernent potentiellement les élèves, leurs parents et le personnel éducatif.
La région va-t-elle payer la rançon ?
Non. La doctrine française, rappelée par l'ANSSI, est de ne jamais verser d'argent aux groupes cybercriminels. La région Hauts-de-France a déposé plainte auprès de la gendarmerie et travaille avec Orange Cyberdéfense et l'ANSSI pour restaurer les systèmes. 177 agents sont mobilisés pour nettoyer les 60 000 machines affectées.
Les cours sont-ils maintenus ?
Oui, la continuité pédagogique est assurée malgré un fonctionnement en mode dégradé. Les ENT (Environnements Numériques de Travail) n'ont pas été touchés. Cependant, les 55 000 ordinateurs pédagogiques sont toujours hors service, contraignant certains enseignants à utiliser leurs appareils personnels. Les 5 255 postes administratifs ont été traités en priorité.
Conclusion : une alerte pour tout le secteur éducatif
L'attaque contre les lycées des Hauts-de-France est la plus grande opération jamais menée par le groupe Qilin. Elle illustre la vulnérabilité du secteur éducatif face aux menaces cybercriminelles et rappelle l'importance cruciale des investissements en cybersécurité.
Avec +48 % d'attaques contre l'éducation en Europe par rapport à 2024, les établissements scolaires sont devenus des cibles de choix. La « surface d'attaque » importante, les moyens limités et la richesse des données personnelles en font des proies faciles pour des groupes comme Qilin.
Pour les victimes potentielles (élèves, parents, personnel), la vigilance est de mise : changement de mots de passe, méfiance envers les emails suspects, surveillance des comptes bancaires. Le risque d'usurpation d'identité est réel et pourrait se manifester dans les semaines ou mois à venir.
À retenir : Cette cyberattaque est un rappel brutal de la réalité des menaces numériques. Elle souligne l'urgence de renforcer la cybersécurité des établissements publics, de former les utilisateurs aux bonnes pratiques, et de maintenir une doctrine ferme face aux cybercriminels : ne jamais payer de rançon.