Cybersécurité : l’opération Cactus montre que les Français se font encore piéger

L'opération Cactus, menée par l'Éducation nationale en mars 2026, dévoile une réalité préoccupante : les Français demeurent particulièrement vulnérables face aux cybermenaces. Cette simulation d'hameçonnage à grande échelle, qui a concerné plus de 9,2 millions de personnes, confirme que la sensibilisation à la cybersécurité constitue un défi majeur, transcendant les générations. Les résultats interpellent : 12% des participants ont succombé au piège, révélant que ni l'expérience professionnelle ni la formation académique ne constituent des remparts infaillibles contre la cybercriminalité moderne.

Cette deuxième édition de l'opération Cactus marque une inflexion significative dans la lutte contre le piratage informatique en France. En élargissant son périmètre au-delà des seuls élèves pour inclure parents et personnels éducatifs, elle expose des vulnérabilités transversales qui affectent l'ensemble de la société française, questionnant nos présupposés sur la maîtrise numérique.

Un dispositif national d'envergure contre la première menace cyber

L'opération Cactus constitue une action de sensibilisation fondée sur une simulation d'hameçonnage, première menace cybercriminelle en France. Orchestrée par un consortium d'acteurs étatiques comprenant le ministère de l'Éducation nationale, le ministère de l'Intérieur (COMCYBER-MI), le ministère de la Justice, Cybermalveillance.gouv.fr, la CNIL, France Télévisions, l'UNAF et l'Association e-Enfance/3018, cette initiative poursuit un double objectif : sensibiliser et responsabiliser les publics face aux risques numériques croissants.

Le dispositif reproduit fidèlement une campagne d'hameçonnage fictive, s'inspirant des pratiques couramment déployées par les cybercriminels. Cette approche immersive plonge les participants dans une situation authentique, reproduisant avec précision les méthodes d'ingénierie sociale exploitées par les pirates informatiques contemporains.

Plus de 6 000 établissements de l'Hexagone et des territoires ultramarins ont participé à cette campagne d'envergure, touchant 3,5 millions d'élèves, près de 5 millions de parents et plus de 500 000 personnels enseignants et administratifs. Un déploiement sans précédent qui témoigne de la prise de conscience institutionnelle face à l'urgence cybersécuritaire, dans un contexte où l'Education nationale fait régulièrement l'objet d'attaques informatiques.

Mars 2026 : des appâts ciblés pour piéger les utilisateurs

Durant la semaine du 23 au 27 mars 2026, chaque catégorie de participants a reçu des messages frauduleux spécifiquement calibrés selon son profil. Cette personnalisation des attaques reflète parfaitement l'évolution des techniques de cybercriminalité modernes, où les escrocs adaptent méticuleusement leurs messages en fonction des victimes potentielles pour optimiser leurs chances de succès.

Les collégiens ont été appâtés par une offre particulièrement attractive : "Recevez gratuitement des mangas dans votre collège !", exploitant habilement l'attrait des jeunes pour cette culture populaire. Les lycéens, confrontés aux défis de l'orientation, ont reçu un message promettant l'accès à "Une nouvelle plateforme pour vous aider à choisir votre avenir", jouant sur leurs préoccupations d'avenir professionnel.

Les enseignants et personnels administratifs ont été ciblés par une proposition de "Pack de ressources pédagogiques", tandis que les parents d'élèves se voyaient promettre "Du matériel de sport offert pour vos enfants". Cette segmentation démontre la sophistication croissante des techniques d'hameçonnage, qui exploitent désormais des leviers psychologiques précisément identifiés selon les profils démographiques.

Anatomie d'une arnaque simulée : le piège de l'urgence et de la gratuité

Le fonctionnement de l'arnaque simulée s'articule autour de plusieurs ressorts psychologiques éprouvés par la cybercriminalité. Premièrement, l'effet d'aubaine : toutes les offres promettent des services ou avantages prétendument gratuits, créant un sentiment d'opportunité à saisir immédiatement.

Deuxièmement, la légitimité apparente : les messages transitent par les ENT ou messageries scolaires, environnements familiers qui inspirent naturellement confiance. Cette technique d'usurpation d'identité numérique exploite méthodiquement la confiance accordée aux canaux officiels de communication.

Troisièmement, l'urgence implicite : les offres génèrent un sentiment de rareté et d'exclusivité qui pousse à l'action immédiate, court-circuitant efficacement les réflexes de prudence. Les cybercriminels exploitent ainsi les biais cognitifs humains fondamentaux, notamment l'aversion à la perte et l'effet de rareté, comme l'ont analysé plusieurs experts en cybersécurité.

Ces mécanismes de manipulation reposent sur quatre piliers stratégiques : la personnalisation des messages selon le profil de la victime, l'exploitation de canaux de communication légitimes, la création d'un sentiment d'urgence et d'opportunité, ainsi que l'utilisation de liens frauduleux redirigeant vers des pages de sensibilisation pédagogique.

Des résultats qui bousculent les idées reçues sur la vulnérabilité numérique

Les résultats de l'opération Cactus révèlent des données particulièrement instructives qui remettent fondamentalement en question les stéréotypes sur la vulnérabilité numérique. Contrairement aux idées reçues, les adultes ne démontrent pas une meilleure résistance que les plus jeunes face aux tentatives de piratage sophistiquées.

Les taux de clic varient significativement selon les catégories, révélant une hiérarchie contre-intuitive : 11% chez les collégiens, 6% chez les lycéens, mais 13% chez les parents et un surprenant 20% chez les personnels de l'Éducation nationale. Ces chiffres bouleversent la représentation classique qui voudrait que l'expérience professionnelle et la maturité constituent des facteurs protecteurs déterminants.

Cette répartition démontre que l'exposition au risque ne suit ni une catégorie d'âge de manière uniforme, ni une hiérarchie simpliste des compétences numériques. Être hyperconnecté ne prémunit pas contre la manipulation, pas davantage qu'occuper une fonction d'encadrement ou évoluer dans un environnement administratif supposé sensibilisé.

Au global, plus de 1,096 million de personnes ont succombé au piège, soit 12% des participants. Un chiffre qui souligne l'ampleur considérable du défi à relever en matière de sensibilisation à la cybersécurité. Ces données confirment que la vulnérabilité traverse l'ensemble du spectre social et s'inscrit dans un continuum complexe, dont l'intensité varie selon les profils, les usages et les contextes d'exposition.

Vers une culture de la vigilance numérique généralisée

L'opération Cactus soulève des questions fondamentales sur les méthodes optimales de sensibilisation à la cybercriminalité. Si l'efficacité pédagogique du dispositif repose sur une tromperie délibérément orchestrée par l'institution elle-même, cette approche n'est pas sans susciter des interrogations éthiques légitimes.

Certains participants ont continué à répondre comme si l'offre était authentique, tandis qu'un collégien s'est plaint d'avoir été trompé par la promesse de mangas gratuits. Ces réactions illustrent parfaitement la complexité de l'exercice, qui place délibérément ses destinataires en situation d'échec pour générer un déclic de sensibilisation durable.

Néanmoins, l'initiative révèle un besoin critique de formation transversale. Comme le soulignent pragmatiquement les gendarmes intervenant en classe : "Si vous réfléchissez, vous éviterez 90% des escroqueries". Cette approche mise sur le développement de l'esprit critique et l'acquisition de réflexes de prudence automatisés.

Le dispositif s'accompagne de ressources pédagogiques approfondies accessibles via Éduscol et DemainSpécialisteCyber, permettant aux établissements de prolonger substantiellement la sensibilisation. Un kit clé en main est mis à disposition des enseignants pour intervenir efficacement en classe et encourager la prise de parole des jeunes sur les situations vécues.