Le 13 octobre, la région a ordonné de garder éteints tous les ordinateurs des lycées publics, après une attaque lancée le 10 octobre par les pirates du groupe QILIN. 80 % des établissements des Hauts-de-France impactés.
Une cyberattaque d’ampleur a frappé les lycées des Hauts-de-France. L’incident, attribué au groupe Qilin, a conduit la Région à suspendre l’usage des ordinateurs dans 80% des établissements dont elle à la gestion. Les experts de l’ANSSI et la gendarmerie participent à la gestion de crise. Le Service de Veille de ZATAZ confirme que des données sensibles, dont des pièces d’identité, ont été compromises. Les cyberattaques des pirates du groupe QILIN représentent 24% des malveillances à l’encontre des entreprises françaises en 2025 (chiffre SV ZATAZ).
Un week-end sous haute tension numérique
Vendredi 10 octobre, le système d’information des lycées publics des Hauts-de-France a été visé par une cyberattaque via une plateforme exploitée par la Région. Selon Ici Hauts-de-France, près de 80 % des établissements seraient impactés. Dans un premier communiqué, la Région parlait prudemment d’un « accès aux réseaux et à Internet temporairement suspendu ». Les premières analyses, précisait-elle, « indiquent que l’attaque a essentiellement ciblé des données techniques ». Les environnements numériques de travail, les ENT, n’étaient pas pas affectés.
La collectivité a immédiatement déposé plainte auprès de la gendarmerie nationale et activé une cellule de crise conjointe avec les autorités académiques. Le 13 octobre, elle a adressé une nouvelle consigne aux chefs d’établissement : maintenir tous les ordinateurs éteints. Objectif : « éviter toute propagation » et « ne pas retarder le retour à la normale ». Cette décision a été prise « suivant les recommandations des experts » : ANSSI, prestataires privés, équipes internes et gendarmerie.
La Région affirme informer « régulièrement » les responsables des lycées sur l’évolution de la situation et assure la continuité du service public « en lien étroit » avec les autorités académiques. Un service d’assistance technique téléphonique a été mis en place pour les établissements, mais dans les faits, de nombreux enseignants doivent improviser : certains se sont vu demander d’utiliser leur propre ordinateur personnel pour assurer les cours.
QILIN en 2025
-
Total d’incidents listés : 183
-
Incidents Qilin : 44
-
Proportion : 24 %
-
Période observée : janvier à octobre 2025
-
Victimes notables : Volkswagen Group France, hautsdefrance.fr, EURORDIS, Groupe Sinari, compagnons du devoir, Etc.
Le groupe Qilin, suspect principal
Selon les informations du Service de Veille ZATAZ, la cyberattaque est liée au rançongiciel du groupe Qilin. Cette organisation criminelle s’est fait connaître pour ses campagnes de chiffrement de données à grande échelle, souvent accompagnées de menaces de diffusion publique. C’est sur leur blog qu’il indique avoir mis la main sur des milliers de documents.
Les pirates ont revendiqué l’attaque trois jours aprés sa mise en œuvre. Ils affirment détenir environ 1 100 Go d’informations issues du Conseil régional et des établissements. Le message publié détaille les types de documents collectés : passeports, données personnelles, rapports d’incidents scolaires.
L’équipe de veille de ZATAZ a pu constater certains fichiers mis en ligne. Ils contiennent des pièces d’identité françaises, américaines et sénégalaises, des relevés de notes, des CV et même un rapport d’incident survenu pendant un cours. Étonnamment, Qilin n’a pas accompagné sa revendication d’un compte à rebours, pratique habituelle dans les campagnes de chantage numérique. Cette absence de chrono laisse penser que la négociation est définitivement terminée. La France ne paie pas de rançon. La doctrine française, rappelée par l’ANSSI, reste inchangée : ne jamais verser d’argent à un groupe cybercriminel.
Cyberattques QILIN en 2025
| Victime | Date | Groupe |
|---|---|---|
| Commune De Saint Claude | 15.10.2025 | Qilin |
| TF LE TOIT FOREZIEN | 15.10.2025 | Qilin |
| ville-elne | 15.10.2025 | Qilin |
| Alu Perpignan | 15.10.2025 | Qilin |
| Roger RENARD Entreprise | 15.10.2025 | Qilin |
| Urban Linker | 15.10.2025 | Qilin |
| Volkswagen Group France | 15.10.2025 | Qilin |
| Canapés Mobilier Décoration | 14.10.2025 | Qilin |
| Prim Saveurs Import Export | 14.10.2025 | Qilin |
| H. Gascon | 14.10.2025 | Qilin |
| EURORDIS | 14.10.2025 | Qilin |
| Paris Rétina Vision | 14.10.2025 | Qilin |
| Buldi | 14.10.2025 | Qilin |
| Typology | 14.10.2025 | Qilin |
| hautsdefrance.fr | 13.10.2025 | Qilin |
| Frisquet | 12.10.2025 | Qilin |
| BCR Recouvrement | 07.10.2025 | Qilin |
| ville-saintclaude.fr | 06.10.2025 | Qilin |
| meduane-habitat.fr | 23.09.2025 | Qilin |
| bio3g.com | 14.09.2025 | Qilin |
| Wouters France | 10.09.2025 | Qilin |
| EPLS | 08.09.2025 | Qilin |
| smefazur.fr | 14.08.2025 | Qilin |
| tissot.com | 29.07.2025 | Qilin |
| foiegrasespinet | 24.07.2025 | Qilin |
| moonsafari | 24.07.2025 | Qilin |
| WIBAIE | 22.07.2025 | Qilin |
| LP Charpente | 01.07.2025 | Qilin |
| semco-tech.com | 30.06.2025 | Qilin |
| ecoter | 09.06.2025 | Qilin |
| radiologue.paris | 22.05.2025 | Qilin |
| compagnons-du-devoir.com | 16.05.2025 | Qilin |
| ITinSell group | 15.05.2025 | Qilin |
| HCI Informatique d’entreprise | 02.05.2025 | Qilin |
| Doumen | 02.04.2025 | Qilin |
| Groupe Sinari | 31.03.2025 | Qilin |
| agakam | 28.03.2025 | Qilin |
| Groupe des Industries Métallurgiques | 24.03.2025 | Qilin |
| l.warsemann.fr | 21.02.2025 | Qilin |
| OBJECTIF-EMBALLAGES.FR | 24.02.2025 | Qilin |
| HALGAND.COM | 24.02.2025 | Qilin |
| SOCOMORE | 21.02.2025 | Qilin |
| LERAY Équipements | 22.02.2025 | Qilin |
⚠️ Êtes-vous une proie facile ?⚠️ ️
Confidentiel • Instantané • Sécurisé • 100 % Made in France
Gestion de crise et zones d’ombre
Dès le 10 octobre, la Région avait diffusé un message d’alerte aux établissements : une cyberattaque venait de frapper le système d’information des lycées. La note interne précisait qu’une cellule de crise conjointe avait été activée et que les équipes techniques régionales et académiques travaillaient à « sécuriser et rétablir les services ».
L’absence de communication publique détaillée dans les premières heures a cependant alimenté la confusion. Alors que les autorités évoquaient une suspension temporaire des connexions, de nombreux établissements rapportaient déjà des dysfonctionnements étendus. L’ampleur réelle de l’incident reste difficile à mesurer : la Région ne confirme ni le nombre exact de serveurs compromis, ni la nature précise des données exfiltrées.
Une remise en route qui prendre du temps ? Tout comme la Mairie de Lille en son temps, le retour à la normal peut prendre plusieurs semaines. Il faut isoler les systèmes infectés, examiner les indicateurs de compromission, remonter la chaîne d’intrusion, remettre tout en place, Etc. Dans un tel scénario, les priorités sont claires : contenir, analyser, restaurer. La reconstruction des environnements affectés, notamment les serveurs d’annuaires et les réseaux internes, pourrait durer plusieurs semaines.
En parallèle, la gendarmerie poursuit l’enquête judiciaire ouverte pour « atteinte à un système automatisé de données ». Les enquêteurs de la section spécialisée en cybercriminalité de Lille devraient tenter de retracer les flux réseau ayant permis la compromission. L’identification de Qilin comme auteur présumé ne garantit pas pour autant une attribution formelle : le groupe pratique fréquemment la sous-traitance d’accès initiaux à d’autres acteurs du cybercrime. ZATAZ vous propose, ci-dessous, un tableau exclusif sur les méthodes de ce groupe qui prend malheureusement le pouvoir dans le monde des rançonneurs 2.0.
| Type de cible | Victimes | Date | Observations |
|---|---|---|---|
| Institutions publiques / collectivités | Commune De Saint Claude, ville-elne, ville-saintclaude.fr, hautsdefrance.fr, www.meduane-habitat.fr, EPLS (sous-traitant public), Groupe des Industries Métallurgiques (para-public), compagnons-du-devoir.com (association reconnue d’utilité publique) | fév.–oct. 2025 | 8 cas – ciblage accru des entités régionales ou liées à l’État. |
| Entreprises privées françaises | TF LE TOIT FOREZIEN, Alu Perpignan, Roger RENARD Entreprise, Urban Linker, Canapés Mobilier Décoration, Prim Saveurs Import Export, H. Gascon, Paris Rétina Vision, Buldi, Typology, Frisquet, BCR Recouvrement, bio3g.com, Wouters France, smefazur.fr, foiegrasespinet, moonsafari, WIBAIE, LP Charpente, semco-tech.com, ecoter, radiologue.paris, ITinSell group, HCI Informatique, Doumen, Groupe Sinari, agakam, l.warsemann.fr, HALGAND.com, SOCOMORE, LERAY Équipements | fév.–oct. 2025 | 30 cas – PME et ETI majoritaires, secteurs variés (industrie, BTP, santé, communication). |
| Grandes entreprises / multinationales | Volkswagen Group France | 15.10.2025 | 1 cas – infiltration ponctuelle d’un acteur international. |
| Associations / ONG | EURORDIS | 14.10.2025 | 1 cas – réseau européen sur les maladies rares, cible atypique. |
| Formation / enseignement | compagnons-du-devoir.com, hautsdefrance.fr (réseau lycées) | mai–oct. 2025 | 2 cas – tendance émergente vers le secteur éducatif. |
Sur 44 cas : Public / para-public : 8 (18 %) ; Privé (PME / ETI) : 30 (68 %) |
Source : veillezataz.com |
Rejoignez ZATAZ sur les réseaux :
Aucun spam – Désinscription en un clic – Vie privée respectée
Conséquences humaines et administratives
Sur le terrain, les perturbations se font sentir. Les enseignants, privés d’accès aux ressources numériques, doivent improviser. Certains rapportent avoir été invités à utiliser leurs ordinateurs personnels pour maintenir les cours. L’absence d’accès aux plateformes pédagogiques et aux courriels officiels complique la gestion quotidienne.
Pour les services administratifs, la coupure du réseau empêche la consultation des bases de données et la transmission de documents notes. Les lycéens, eux, subissent indirectement la panne : plus de suivi numérique, plus d’accès aux espaces de travail partagés.
L’attaque des lycées des Hauts-de-France n’est pas isolée. Les collectivités territoriales et établissements d’enseignement figurent depuis deux ans parmi les cibles privilégiées des cybercriminels de Qilin. Le secteur combine des volumes massifs de données personnelles et des systèmes souvent peu sécurisés. Parmi les derniéres victimes en date Massachusetts Bay Community College (USA), Mecklenburg County Public Schools (USA), Riviera Beach (USA), Ville d’Elne (France) ou encore la Commune de Saint Claude (France) ou encore le Groupe Volkswagen France.
Dans ce cas, la fuite annoncée de 1 100 Go de données, incluant pièces d’identité et relevés scolaires, représente un risque majeur de compromission. Les informations pourraient alimenter des campagnes de fraude, d’usurpation d’identité ou de phishing ciblé. La diffusion potentielle de dossiers d’élèves et d’enseignants sur le darknet constituerait une atteinte grave à la vie privée.
La chronologie des faits laisse entrevoir une montée en puissance du groupe Qilin sur le territoire français. L’absence de compte à rebours, contrairement à d’autres campagnes, pourrait signaler une stratégie différente : pression prolongée plutôt que menace immédiate. Sur 183 cas référencés par le Service de Veille ZATAZ en 2025 [cas revendiqués publiquement par les pirates], 24% de ces cyberattaques sont attribuées à Qilin. Comme le montre notre tableau exclusif, ci-dessous, Qilin domine nettement 2025, avec un pic d’activité entre septembre et octobre 2025. Une multipolarité du paysage français 2025 : au moins 37 groupes différents actifs sur le territoire.
