E-campus : la plateforme de formation en ligne de la Police nationale

Avant d’aborder les détails du piratage, il est important de comprendre ce qu’est e-campus. Cette plateforme numérique est l’outil de formation en ligne de la Police nationale. Elle permet aux fonctionnaires de police de suivre des modules de formation continue, de passer des certifications internes et d’accéder à des ressources pédagogiques liées à leur métier.

La plateforme est utilisée par l’ensemble des agents de la Police nationale, qu’ils soient policiers actifs sur le terrain, personnels administratifs travaillant dans les commissariats et les directions centrales, ou agents contractuels en mission temporaire. Elle constitue un maillon essentiel de la montée en compétences des forces de l’ordre.

Point crucial : e-campus n’est pas gérée en interne par les services informatiques de la Police nationale. Sa maintenance et son hébergement sont confiés à une entreprise externe, un prestataire dont l’identité n’a pas été communiquée officiellement. C’est cette externalisation qui est aujourd’hui au cœur des interrogations.

Les 17 et 18 mars 2026 : l’intrusion

Selon les informations confirmées par la Direction générale de la Police nationale (DGPN), l’intrusion a eu lieu les 17 et 18 mars 2026. Pendant ces deux jours, un acteur malveillant a réussi à accéder aux bases de données de la plateforme e-campus.

La DGPN a confirmé dans un communiqué que des « données d’identification de policiers actifs, administratifs et contractuels ont été consultées par un acteur malveillant ». Les données compromises incluent :

• Les noms et prénoms des agents inscrits sur la plateforme
• Les adresses administratives (adresses professionnelles de rattachement)
• Les adresses email professionnelles des fonctionnaires

Un point que la DGPN a tenu à souligner immédiatement : les données compromises ne sont pas liées aux fichiers de police. Autrement dit, il n’y a pas eu d’accès aux bases de données opérationnelles contenant des informations sur les enquêtes, les suspects, les victimes ou les procédures judiciaires en cours. Le piratage se limite aux données administratives de la plateforme de formation.

Une divulgation tardive qui pose question

L’intrusion a eu lieu mi-mars, mais l’information n’a été rendue publique qu’à la mi-avril 2026, soit environ un mois plus tard. Ce délai soulève des questions légitimes sur la transparence de la communication autour de cet incident.

En vertu du Règlement général sur la protection des données (RGPD), toute violation de données personnelles doit être notifiée à la CNIL dans un délai de 72 heures après sa découverte, lorsqu’elle est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. Les personnes dont les données ont été compromises doivent également être informées dans les meilleurs délais.

Dans le cas des policiers, la sensibilité est décuplée. Les fonctionnaires de police, par la nature de leur métier, sont potentiellement exposés à des représailles, du harcèlement ou des tentatives d’intimidation de la part d’individus ou de groupes criminels. Connaître le nom, le prénom et le service de rattachement d’un policier constitue une information exploitable à des fins malveillantes.

Les mesures correctives immédiates

La DGPN a indiqué que des « mesures correctives immédiates ont été prises pour contenir l’incident et sécuriser les accès » dès la découverte de l’intrusion. Concrètement, cela signifie que la plateforme e-campus a vraisemblablement été mise hors ligne ou placée en mode restreint le temps de colmater la faille exploitée.

Les accès à la plateforme sont actuellement rétablis progressivement, ce qui suggère que l’opération de sécurisation est encore en cours. Chaque module et chaque fonctionnalité sont probablement testés et validés avant d’être remis en service, afin de s’assurer que la vulnérabilité initiale a bien été corrigée et qu’aucune porte dérobée n’a été laissée par l’attaquant.

Parmi les mesures techniques habituellement déployées dans ce type de situation :

• Réinitialisation de tous les mots de passe des utilisateurs de la plateforme
• Audit complet des logs pour retracer précisément les actions de l’intrus
• Mise à jour et durcissement de l’infrastructure technique
• Revue des droits d’accès du prestataire externe
• Déploiement de systèmes de détection d’intrusion renforcés

Une enquête en cours

La DGPN a confirmé qu’une enquête est en cours pour identifier l’auteur ou les auteurs de l’intrusion. Les investigations portent sur plusieurs axes : la nature exacte de la vulnérabilité exploitée, le profil de l’attaquant (hacktiviste, cybercriminel, acteur étatique), l’étendue réelle des données consultées et leur éventuelle diffusion sur le dark web ou d’autres canaux.

L’enquête devra également déterminer la responsabilité du prestataire externe en charge de la plateforme. Plusieurs questions se posent : les mesures de sécurité contractuellement exigées étaient-elles effectivement en place ? Les mises à jour de sécurité étaient-elles appliquées dans les temps ? Le prestataire disposait-il des certifications de sécurité nécessaires pour héberger des données aussi sensibles ?

Un contexte de cybermenaces accrues contre les institutions françaises

Ce piratage s’inscrit dans un contexte de multiplication des cyberattaques visant les institutions françaises. Ces dernières années, plusieurs organismes publics ont été la cible d’intrusions : hôpitaux, collectivités territoriales, ministères et désormais les forces de l’ordre.

La Police nationale n’en est pas à son premier incident de cybersécurité, mais celui-ci revêt une gravité particulière en raison de la nature des données compromises. Même si les informations ne sont pas liées aux fichiers opérationnels, elles permettent d’identifier nommément des fonctionnaires de police et de connaître leur affectation.

Cet incident relance le débat sur l’externalisation des systèmes d’information des forces de l’ordre. Confier la gestion d’une plateforme contenant les données personnelles de milliers de policiers à un prestataire privé implique un transfert de risque qui, en cas de défaillance, peut avoir des conséquences bien plus graves que dans le secteur privé.

Pour les fonctionnaires concernés, la DGPN recommande une vigilance accrue face aux tentatives de phishing et d’ingénierie sociale qui pourraient exploiter les données volées. Le changement des mots de passe sur l’ensemble des services utilisés avec la même adresse email est également fortement conseillé.