En outre, l’étude indique que 56 % des établissements d’enseignement supérieur et 47 % des établissements d’enseignement secondaire ont tendance à payer rapidement la rançon demandée à la suite de l’attaque, soit le taux le plus haut jamais enregistré tous secteurs confondus. Cela a eu pour effet d’augmenter considérablement les coûts liés à la restauration des données, avec notamment 1,31 million de dollars pour les établissements d’enseignement supérieur et 2,18 millions de dollars pour les établissements d’enseignement secondaire. En revanche, en cas de non-paiement de la rançon au profit de l’utilisation de solutions de sauvegarde, il a été démontré que les deux types d’établissements ont dépensé des sommes moins élevées, à savoir 980 000 dollars pour les établissements d’enseignement supérieur et 1,37 million de dollars pour les établissements d’enseignement secondaire.

De plus, en payant la rançon, les victimes ont également vu les délais de restauration de leurs données se prolonger. Par exemple, 79 % des établissements d’enseignement supérieur et 63 % des établissements d’enseignement secondaire ayant utilisé des solutions de sauvegarde ont pu récupérer leurs données dans un délai d’un mois, contre respectivement 63 % et 59 % seulement en cas de versement de rançon.

« Bien que la plupart des écoles ne soient pas très aisées sur le plan financier, elles n’en sont pas moins des cibles de choix, car l’impact d’une attaque de ransomware y est immédiat et généralisé. Les parents des élèves exercent notamment une pression sur les établissements, les incitant à ‘‘faire quelque chose’’ et à ne pas fermer leurs portes, ce qui a pour effet pousser la direction à répondre au problème le plus rapidement que possible, sans tenir compte du coût que cela implique. Malheureusement, aucune donnée ne confirme que le fait de payer une rançon permet de résoudre le problème plus vite ; il s’agit probablement d’un critère de sélection sur lequel s’appuient les cybercriminels pour choisir leurs victimes », déclare Chester Wisniewski, Field CTO chez Sophos.

Si les principales causes associées aux attaques de ransomware dans le secteur de l’éducation sont similaires à celles observées dans tous les secteurs, le nombre d’attaques de ransomware impliquant des informations d’identification compromises est nettement plus élevé dans les établissements d’enseignement supérieur (37 %) et secondaire (36 %), contre 29 % pour la moyenne intersectorielle.

Par ailleurs, le rapport constate également que :

• 77 % des attaques de ransomware contre les établissements d’enseignement supérieur et 65 % des attaques de ransomware contre les établissements d’enseignement secondaire sont liées à des informations d’identification compromises.
• Le taux de cryptage des données est resté à peu près le même pour les établissements d’enseignement supérieur (à savoir 74 % en 2021 contre 73 % en 2022), mais a augmenté de 9 % dans les établissements d’enseignement secondaire – soit un passage de 72 % à 81 %.
• Les établissements d’enseignement supérieur ont enregistré un taux d’utilisation de solutions de sauvegarde inférieur à la moyenne intersectorielle – 63 % contre 70 %, soit le troisième taux le plus faible tous secteurs confondus. En revanche, les établissements d’enseignement secondaire affichent un taux d’utilisation des solutions de sauvegarde légèrement supérieur à la moyenne mondiale (soit 73 %).

« Pour les cybercriminels adeptes des attaques de ransomware, le vol d’informations d’identification est une pratique extrêmement courante dans tous les secteurs d’activité. En outre, le manque d’adoption de la technologie d’authentification multifacteur (MFA) dans le secteur de l’éducation rend ce dernier encore plus vulnérable à ce type d’attaque. À l’instar de la recommandation adoptée par la CNIL le 21 juillet 2022, les équipes pédagogiques, le personnel et les étudiants doivent impérativement adopter cette technologie de MFA. C’est un bon exemple et un moyen simple d’éviter que ces attaques ne franchissent les portes des écoles », commente Chester Wisniewski.

Pour se défendre contre les ransomwares et autres cyberattaques, Sophos recommande d’adopter plusieurs bonnes pratiques :

• Renforcer sa défense grâce à :
o Des outils de sécurité permettant de se défendre contre les vecteurs d’attaque les plus courants, dont une solution de protection des endpoints pour empêcher l’exploitation de potentielles vulnérabilités, ainsi qu’un accès au Zero Trust Network Access (ZTNA) pour contrecarrer le vol et l’utilisation abusive d’informations d’identification compromises.
o Des technologies évolutives capables de réagir automatiquement en cas d’attaque, ce qui a pour effet de perturber les cyberattaquants et de permettre aux équipes de cybersécurité de réagir en conséquence.
o Un service de détection et de réponse aux menaces (Managed Detection and Response ou MDR) actif 24/7, qu’il soit assuré en interne ou par un fournisseur spécialisé.
• Optimiser sa préparation en cas de cyberattaques, notamment en effectuant fréquemment des sauvegardes, en s’entraînant à récupérer des données à partir de ces sauvegardes et en disposant d’un plan de réponse aux incidents régulièrement mis à jour.
• Maintenir une bonne hygiène en matière de cybersécurité, notamment en appliquant de correctifs en temps utile et en réévaluant régulièrement les configurations des outils de sécurité.