L’opération "Cactus" de sensibilisation aux cyberattaques étendue à toutes les académies

Le 19 mars, une campagne de sensibilisation aux cyberattaques a été déployée à l’échelle nationale auprès de plus de 2,5 millions d’élèves, via un faux message frauduleux diffusé sur les ENT (espaces numériques de travail). 210 000 élèves ont cliqué sur le lien piégé. L’objectif : confronter les élèves à une situation réaliste de cyberattaque pour les sensibiliser aux risques numériques.

Johanna Brousse, vice-procureure et cheffe de la section de lutte contre la cybercriminalité au parquet de Paris, explique que "mettre les élèves en situation de se faire piéger" permet d’initier des échanges et de traiter la cybersécurité sous un angle concret et nouveau. Jérôme Notin, directeur général de cybermalveillance.gouv.fr, souligne également l’importance de la prévention pour éviter des dérives pouvant mener jusqu’à des poursuites judiciaires.

Mettre les élèves en situation de victimes

Face à la hausse de cyberattaques impliquant des mineurs, et notamment le piratage de plusieurs ENT en 2024, un groupe de travail a été mis en place. Il réunit la Junalco, les ministères de l’Éducation nationale et de l’Intérieur, la Cnil et le GIP Acyma (cybermalveillance.gouv.fr), avec pour objectif de mener des actions concrètes de sensibilisation.

Selon Johanna Brousse, pour que cette démarche soit réellement efficace, "il faut que les élèves se retrouvent eux-mêmes victimes de ces attaques, pour prendre conscience que le danger est réel et peut toucher n’importe qui". Inspirée d’exemples étrangers comme les Pays-Bas, cette approche immersive permet d’en maximiser l’impact pédagogique.

L’opération Cactus 2

Après un premier test en 2024 dans sept départements (les Yvelines et l’académie d’Orléans-Tours), l’opération a été élargie à l’ensemble des académies en 2025. Chaque territoire a pu adapter la stratégie de déploiement selon l’organisation de son ENT. Par exemple, dans le Grand Est, tous les établissements ont été ciblés, tandis qu’à Mayotte seuls les élèves de 4e et de seconde ont été concernés.

Le 19 mars, un message de phishing a été adressé à 2,5 millions d’élèves via un compte fictif. Environ 8 % d’entre eux ont cliqué sur le lien (contre 13 % l’année précédente). Ceux qui sont tombés dans le piège ont été redirigés vers une vidéo de prévention, visionnée plus de 135 000 fois.

Débats, kits et ateliers dans les établissements

Le lendemain de l’opération, des affiches ont été installées dans les établissements pour encourager les échanges autour de la cybersécurité. Un message a également été envoyé aux parents pour leur expliquer la démarche.

Un kit pédagogique a été mis à disposition des enseignants souhaitant animer un atelier de 50 minutes. Il comprend :

• un guide détaillant le déroulé de la séance ;
• une fiche élève à remplir et corriger ;
• une présentation PowerPoint pour animer l’intervention.

Se protéger, c’est aussi protéger les autres

L’un des objectifs principaux de l’opération était de proposer une approche renouvelée de la cybersécurité, selon Jérôme Notin. Sur les 4 700 établissements concernés, 600 ont répondu à une enquête post-opération : 70 d’entre eux prévoient une action supplémentaire d’ici les vacances, souvent portée par les professeurs principaux. Dans un quart des établissements, des débats ont été initiés, et dans la moitié d’entre eux, un signalement a été effectué, démontrant l’efficacité de la chaîne d’alerte.

Pour Xavier Delporte, directeur des relations avec les publics à la Cnil, cette opération collective montre l’engagement des politiques publiques sur un enjeu crucial. Les jeunes, très connectés, sont aussi particulièrement vulnérables, tandis que les familles ne sont pas toujours en mesure de les accompagner efficacement.

Un effort collectif contre le vol et la diffusion de données personnelles

Guillaume Deckmyn, chef du département stratégie cyber au ministère de l’Intérieur, insiste sur l’importance d’une action collective. L’école a un rôle clé à jouer pour freiner le vol et la diffusion non souhaitée de données personnelles. Cette campagne s’intègre dans une stratégie globale de lutte contre la cybercriminalité : elle vise à armer les jeunes, à faire émerger une culture de la cybersécurité et à réduire les risques à long terme.

D’autres opérations "Cactus", cette fois portées directement par les académies, sont déjà prévues d’ici la fin de l’année.

SOURCE : AEF INFO