Skip to content

Groupe GES : 341 000 étudiants exposés dans quatre écoles

Le Groupe GES (Grandes Écoles Spécialisées) confirme un accès non autorisé détecté le 8 juillet 2026. EFAB, ESGI, EIML Paris et PPA Business School concernés. Notification CNIL faite.

Publié le 5 min de lecture

Le Réseau des Grandes Écoles Spécialisées (Groupe GES) a confirmé avoir été victime d'un accès non autorisé à l'un de ses environnements informatiques, détecté le 8 juillet 2026. Selon la reprise publique de la notification interne par INCYBER NEWS et FrenchBreaches, l'incident touche quatre écoles du groupeEFAB, ESGI, EIML Paris et PPA Business School — ainsi que le GIE GES, structure qui mutualise pour ces établissements les outils d'admissions, de candidatures, de relation candidats, de scolarité et de systèmes d'information. La notification à la CNIL est faite ; l'investigation se poursuit.

Volumétrie revendiquée par école

Les ordres de grandeur repris dans la communication interne — étudiants, candidats, prospects et anciens élèves confondus — se répartissent ainsi :

  • PPA Business School : environ 293 000 personnes
  • EFAB (École Supérieure des Métiers de l'Immobilier) : environ 19 000
  • EIML Paris (École Internationale de Marketing du Luxe) : environ 17 000
  • ESGI (École Supérieure de Génie Informatique) : environ 12 000

Total agrégé : de l'ordre de 341 000 personnes, tous établissements et statuts confondus, sans dédoublonnage entre écoles.

Données exposées, données préservées

Le périmètre communiqué par le Groupe GES distingue explicitement ce qui a été atteint de ce qui ne l'a pas été.

Exposées :

  • Nom, prénom
  • Numéro(s) de téléphone
  • Adresse e-mail
  • Adresse postale
  • Pour les contacts professionnels (intervenants, entreprises partenaires, employeurs de stagiaires) : employeur et poste

Non atteintes selon les investigations en cours :

  • Copies de pièces d'identité
  • Numéros de compte bancaire et coordonnées bancaires
  • Données de santé
  • Mots de passe

Le périmètre est cohérent avec un export depuis les bases CRM / admissions / annuaire du GIE, plutôt que depuis les couches sensibles (scolarité chiffrée, comptabilité, RH). L'affirmation reste néanmoins conditionnelle — le Groupe GES la présente comme le résultat des investigations en cours, non comme un état définitif.

Statut de la revendication

  • Le Groupe GES lui-même confirme l'incident. Ce n'est pas une revendication tierce non confirmée : la lettre interne circule et la CNIL est notifiée.
  • Le pseudonyme de l'auteur de l'exfiltration n'a pas été publiquement rattaché, à ce stade, aux clusters revendicatifs actifs en 2026 côté francophone (Misere/ChimeraZ côté immobilier, Saturne côté fonction publique, lestenebreswallah côté associatif). Aucune attribution officielle n'est publiée.
  • Aucun avis CERT-FR distinct n'accompagne l'annonce à cette heure — la communication publique passe par les vecteurs du groupe et par les trackers spécialisés.

Que faire

  1. Étudiants, candidats, anciens élèves et prospects des quatre écoles concernées : considérer nom, prénom, téléphone, courriel et adresse postale comme publiquement connus côté attaquant. Les prochaines vagues d'hameçonnage prendront très probablement la forme de courriels prétendant être l'école — relance de dossier, régularisation de frais de scolarité, alerte compte étudiant, offre de stage — et citeront ces éléments pour paraître crédibles. Un mail qui connaît l'école, la promo et le prénom n'est pas une preuve d'authenticité.
  2. Contacts professionnels référencés (intervenants, employeurs de stagiaires, tuteurs) : l'ajout de l'employeur et du poste aux coordonnées personnelles rend un phishing ciblé en usurpation d'école particulièrement crédible côté entreprise. Rappeler aux équipes RH et comptabilité de valider par appel sortant tout courriel entrant demandant un changement de RIB, une avance sur convention de stage, ou une facturation exceptionnelle qui se réclamerait de l'une des quatre écoles.
  3. Groupe GES et éditeurs de plateformes équivalentes : la priorité opérationnelle après confinement, c'est l'audit des droits d'export côté back-office CRM et admissions, et la mise en place d'une alerte volumétrique — une extraction de plusieurs centaines de milliers de lignes depuis un compte unique doit lever une alerte plutôt que s'exécuter en silence. C'est le contrôle le moins cher pour rendre ce type d'exfiltration bruyant.
  4. Anciens élèves susceptibles de figurer dans plusieurs annuaires (LinkedIn public, portails d'alumni de plusieurs écoles) : réviser la surface publique de leur profil et considérer que la corrélation d'un jeu de données GES avec un autre jeu 2026 rend l'ingénierie sociale professionnelle beaucoup plus précise.
  5. Grand public non client : pas d'action côté grand public — le périmètre est côté annuaires du groupe, pas côté fichier de donateurs, de patients ou d'usagers d'un service public.

Contexte

Le secteur éducatif français enchaîne en 2026. Après la fuite Pix Orga qui a touché 19 établissements scolaires et 14 817 élèves et l'incident dédié à la plateforme Avantages Enseignants (126 000 comptes), le Groupe GES est le troisième dossier d'ampleur sur douze mois côté enseignement — supérieur cette fois. Le constant est le même que dans l'immobilier et l'associatif : ce ne sont pas les couches applicatives spécialisées qui cèdent, mais les annuaires transverses et les back-offices d'admissions qui, par construction, agrègent identité, contact et affiliation sur des dizaines à des centaines de milliers de lignes accessibles depuis un unique compte. Tant que ces annuaires resteront exportables à volonté depuis un profil administrateur, chaque nouveau consolidateur sectoriel est la prochaine cible.

Articles liés