Pensée pour sensibiliser les collégiens et les lycéens aux pièges du phishing, l’opération Cactus a pris une autre dimension cette année en élargissant son périmètre aux parents d’élèves et aux personnels de l’Éducation nationale. L’exercice relève de la prévention classique, mais les chiffres dessinent un constat moins attendu. Dans cette simulation, les adultes ont parfois davantage cliqué que les plus jeunes.

Phishing : l’opération Cactus menée par l’Éducation nationale révèle que les adultes ne s’en sortent pas mieux que les élèves. © HJBC / Shutterstock
Phishing : l’opération Cactus menée par l’Éducation nationale révèle que les adultes ne s’en sortent pas mieux que les élèves. © HJBC / Shutterstock

L’exercice a beau être balisé, le résultat n’en dit pas moins quelque chose d’assez précis sur l’état de la sensibilisation cyber à l’école. Durant une semaine, du 23 au 27 mars, élèves, parents et personnels ont reçu un faux message de phishing via leur ENT ou leur messagerie scolaire, avant d’être redirigés, en cas de clic, vers des contenus pédagogiques, selon le bilan présenté lors d’une conférence de presse organisée par le ministère de l’Éducation nationale et Cybermalveillance.gouv.fr.

Lancée en 2025 en partenariat avec le ministère de l’Intérieur, le ministère de la Justice, la CNIL, France Télévisions, l’UNAF et l’association e-Enfance, l’opération Cactus a, pour sa deuxième édition, changé d’échelle autant que de portée. Initialement limitée à 2,5 millions de collégiens et de lycéens dans environ 4 700 établissements, elle a cette année été déployée dans plus de 6 000 établissements de l’Hexagone et des territoires ultramarins, pour un total d’un peu plus de 9,2 millions de destinataires potentiels, dont 3,5 millions d’élèves, et s’adresse désormais aussi aux parents d’élèves et aux personnels enseignants et administratifs.

Les usages ne valent pas culture du risque

Cette deuxième édition démonte une fois encore un cliché tenace, celui qui voudrait que les jeunes, parce qu’ils grandissent avec les écrans, disposent presque naturellement des bons réflexes pour repérer les pièges du numérique. Que les plateformes, les codes, les applications et les usages quotidiens leur soient familiers ne signifie pas qu’ils identifient plus sûrement une tentative de phishing, ni qu’ils mesurent toujours ce qu’impliquent un clic, un partage ou une exposition trop large de leurs données.

C’est d’ailleurs ce que les chiffres publiés cette année laissent entrevoir assez clairement. Le taux de clic a atteint 11 % chez les collégiens et 6 % chez les lycéens, des niveaux à peu près comparables à ceux observés en 2025, qui oscillaient au global entre 7 % dans les premiers jours et 12 % par la suite. Il monte ensuite à 13 % chez les parents et à 20 % chez les personnels de l’Éducation nationale.

Il y a dans ce décalage quelque chose de plus instructif que le bilan lui-même. Le discours public sur les usages numériques continue souvent de présenter les adolescents comme un public à la fois hyperconnecté et particulièrement vulnérable, et pourtant, les résultats de Cactus obligent à nuancer un peu ce récit. Être au contact des écrans en permanence ne protège évidemment pas contre la manipulation, pas davantage qu’occuper une fonction d’encadrement ou travailler dans une administration.

Bref, l’exposition au risque n’épouse ni une catégorie d’âge de manière uniforme, ni une hiérarchie simple des compétences numériques. Les élèves restent au centre du dispositif, mais ils ne sont plus les seuls visés, ni les seuls à devoir emporter quelque chose de l’exercice.

La deuxième édition de l'Opération Cactus a surtout montré que les adultes censés sensibiliser les plus jeunes aux risques de phishing n'étaient pas mieux armés qu'eux. © Teacher Photo / Shutterstock
La deuxième édition de l'Opération Cactus a surtout montré que les adultes censés sensibiliser les plus jeunes aux risques de phishing n'étaient pas mieux armés qu'eux. © Teacher Photo / Shutterstock

Des élèves à former, mais aussi des relais à activer

Surtout, les plus jeunes ne sont plus uniquement envisagés comme des publics à former. Dans bien des foyers, ce sont eux qui manipulent le plus aisément les plateformes, les réseaux sociaux, les jeux en ligne et les usages numériques du quotidien, d’où cette idée d’en faire aussi des relais au sein des familles. Le raisonnement se tient. Il ne s’agit plus d’opposer des jeunes supposément imprudents à des adultes censés mieux savoir, mais de comprendre que la vulnérabilité traverse tout l’environnement scolaire et s’inscrit dans un continuum, dont la forme et l’intensité varient selon les profils, les usages et les situations.

Logiquement, la question d’une sensibilisation auprès de publics encore plus jeunes affleure déjà. Il ne s’agirait plus seulement d’intervenir plus tôt, mais de miser plus tôt sur cette capacité des enfants et des adolescents à faire remonter, jusque dans les familles, des réflexes que les adultes n’ont pas toujours acquis eux-mêmes.

Une méthode qui mise sur le leurre, et un coût réduit à sa plus petite expression

L’intention se défend, et l’élargissement du dispositif aux parents comme aux personnels montre bien qu’une culture de la vigilance ne se construit pas à sens unique et qu’une sensibilisation efficace ne peut pas se limiter aux seuls élèves.

Toujours est-il qu’on peut s’interroger sur la méthode, car si l’opération Cactus fonctionne, c’est bien parce qu’elle trompe. L’exercice est encadré, sans conséquence technique pour ses destinataires, mais il repose malgré tout sur un leurre suffisamment crédible pour provoquer un clic. C’est ce qui fait son efficacité, autant que sa limite.

D’abord parce que l’efficacité pédagogique repose ici sur une tromperie organisée par l’institution elle-même. Même sans conséquence technique, le dispositif met délibérément ses destinataires en défaut pour produire un déclic. On peut juger la méthode utile, mais elle repose tout de même sur une mise en échec de la confiance, ce qui n’est jamais complètement neutre dans un cadre éducatif. Certains parents ont ainsi continué à répondre comme si l’offre était réelle, tandis qu’un collégien s’est plaint d’avoir été trompé par la promesse de mangas gratuits, comme l’a rapporté Jérôme Notin, directeur général de Cybermalveillance.gouv.fr lors de la conférence de presse à laquelle nous avons assisté.

Ensuite parce que le clic ne mesure pas forcément un manque de sensibilisation. Il peut aussi traduire des comportements beaucoup plus ordinaires, liés à la rapidité, à la lecture en diagonale, à la fatigue, à la confiance accordée à un message reçu dans un environnement familier. Autrement dit, on ne teste pas seulement une culture cyber insuffisante. On capte aussi des automatismes très communs, qui débordent largement la seule question du phishing.

À cette ambiguïté de méthode s’ajoute aussi la manière dont le coût de l’opération est mis en scène. Toujours au cours de cette conférence de presse, on insiste sur les 80 euros qu’aurait coûté l’édition 2026, contre 40 euros l’année précédente, en réduisant la dépense à l’achat des quatre noms de domaine utilisés pour la campagne. Rapporté aux millions engloutis ensuite dans la remise en état de systèmes touchés par de vraies cyberattaques, le montant produit effectivement l’effet attendu. Il reste pourtant très partiel. Car ces 80 euros ne disent rien de la préparation des messages, de leur adaptation à plusieurs publics, de la production des contenus pédagogiques, de la coordination avec les académies, ni du temps de travail mobilisé pour concevoir, déployer et accompagner l’opération.

Le dispositif n’en demeure pas moins utile, ne serait-ce que parce qu’il a permis d’élargir la sensibilisation à des publics qui, cette année, ont montré qu’ils n’étaient pas moins exposés que les élèves. Et pour une deuxième édition, il ressemble moins à une formule arrêtée qu’à un dispositif encore appelé à évoluer.

À découvrir
Meilleur antivirus : le comparatif en mars 2026
01 mars 2026 à 09h54
Comparatifs services