Un incident de sécurité de données à caractère personnel a été identifié le 12 avril 2026 à partir de la plateforme d’orientation My Way, n’affectant pas le reste des systèmes d’information de l’OFPPT. Cet incident fait actuellement l’objet d’une investigation approfondie menée par les équipes DSI de l’OFPPT, en collaboration avec les autorités compétentes et l’expertise technique externe mobilisée.
Les données exposées sur le dark web ont été consolidées via un fichier de format CSV, d’un volume d’environ 19 MB, contenant des données relatives à près de 100 000 jeunes prospects au niveau national. Les premières analyses indiquent qu’environ 70 % d’entre eux sont des « prospects » et 30 % des « stagiaires » potentiels, ayant tous utilisé la nouvelle plateforme d’orientation « MyWay » pour les besoins d’accès à l’information sur le dispositif de formation et de passation du test d’intérêts professionnels en amont de l’inscription, les amenant à créer eux-mêmes leurs comptes sur la plateforme et à renseigner entre autres les données relatives à leurs noms et prénoms, numéros de téléphone, CNI et adresses mail, sans exposition de documents ou de pièces justificatives.
Il est important de noter qu’une partie de ces données est inexacte ou incomplète dès sa saisie par les utilisateurs.
Ce sont exclusivement et uniquement ces données concernant 100.000 utilisateurs qui ont été exposées à date, relevant des fonctionnalités publiques de la plateforme « s’identifier » et « apprendre à me connaître », permettant respectivement la création de comptes et la passation du test d’intérêts professionnels, sans affecter les autres briques du système/processus d’orientation mis en place au profit des apprenants (parcours de formation, projet professionnel, relevé des notes, etc.)
Les éléments consolidés via l’analyse technique orientent vers le scénario d’un usage frauduleux d’un compte légitime identifié (compte potentiellement piraté), sans indication à ce stade d’une compromission du système d’orientation sur le plan technique.
À présent, l’incident est circonscrit et fait l’objet d’un suivi rapproché. Les investigations se poursuivront toutefois afin d’en confirmer l’origine et d’en mesurer l’impact effectif, avant de compléter les mesures correctives nécessaires de capitaliser dessus.
Il y a lieu de rappeler que cet incident intervient dans un contexte marqué par des signalements antérieurs relatifs aux risques d’exposition sur le dark web, suite auxquelles l’OFPPT a engagé dès le mois de Février 2026 un plan d’urgence de remédiation aux vulnérabilités cybernétiques via l’accélération et le complément des actions de cybersécurité engagées à travers l’expertise externe d’une part, et l’initiation des démarches externes requises pour la mise en place de solutions de classification des données et de prévention des fuites d’information (DLP) d’autre part (en cours).
L’OFPPT reste pleinement conscient du désagrément causé par cet incident et s’engage à doubler d’efforts et de vigilance en vue de rehausser le dispositif de sécurité et de garantir la protection des données personnelles des différentes communautés d’utilisateurs.
