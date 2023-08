Un cybercriminel a volé mes devoirs !

août 2023 par Thierry Fabre, Senior Manager Sales Engineering, BlackBerry

Pour bon nombre d’établissements scolaires, l’année dernière fut une année charnière en matière de cybersécurité. En effet, rien qu’en fin 2022, les campus de l’INP de Toulouse et Grenoble, ainsi que l’IUT de Paris – Rives de Seine ont été frappés par des cyberattaques de grandes ampleurs. Outre les conséquences directes sur l’enseignement, plus rien n’était accessible : des paiements de frais de scolarité jusqu’au aux démarches administratives. Si les méthodes utilisées par les hackers sont généralement la prise d’otage des données contre le paiement d’une rançon (attaque par ransomware), les établissements scolaires se retrouvent rapidement pris en étaux et peuvent difficilement sortir de ces cyber-pièges.

Les établissements scolaires regorgent de données en tout genre

Aujourd’hui, les écoles collectent et stockent des données diverses et variées. Et chacun sait qu’elles valent de l’or pour les cyber-pirates. Que ce soient des informations sur les élèves et l’équipe pédagogique, des résultats d’examens, des informations de paiement, des critères d’admission, ou encore des informations médicales, il serait extrêmement problématique de voir ces données être volées et fuiter.

En effet, pour des acteurs malveillants, les attaques par ransomware sont des opérations « une pierre deux coups ». Ils peuvent jouir du paiement de la rançon, tout en revendant les informations sur le dark web. Plus encore, ils peuvent continuer sur leurs lancées et extorquer davantage d’argent en faisant chanter les propriétaires de ces données et leurs familles en les menaçant de les rendre public.

Pourquoi sont-ils des cibles de choix ?

Malheureusement, les établissements scolaires sont des proies faciles. En effet, ils disposent d’équipes informatiques de taille limitée, de budgets restreints, et utilisent tous les mêmes logiciels standards fournis par l’Éducation Nationale. Typiquement, si une vulnérabilité est découverte au sein de ces logiciels, les cybercriminels s’empresseront de l’exploiter au maximum.

Par ailleurs, pour la plupart des écoles, le paysage des cybermenaces s’est élargi rapidement ces dernières années du fait de « l’école à la maison », des applications parents-enseignants, des appareils mobiles et autres supports d’apprentissage connectés. De plus, les contraintes budgétaires incitent les élèves à utiliser leurs propres appareils (souvent non-sécurisés) et la multiplication des points de connexion élargit indéniablement la surface d’attaque. Mais la principale raison faisant d’eux une « proie facile » se résume à la culture des acteurs de ce secteur.

D’autres domaines (la finance, la santé ou le commerce par exemple) gérant également les données personnelles d’individus, sont soumis à de nombreuses règlementations liées à la protection de la vie privée et des données. Ils investissent dans des infrastructures technologiques, s’en servent comme avantage concurrentiel, et savent pertinemment que leur réputation est directement liée à leur capacité de protection des informations privées.

Pour le milieu éducatif, l’histoire est bien différente. Si les établissements ne souhaitent pas nécessairement adopter des mesures aussi strictes, c’est bien souvent pour des raisons pratiques. Elles ne veulent pas être soumises à des contraintes pouvant bloquer ou freiner leurs activités. Elles veulent avoir la liberté de déplacer des fichiers entre les différentes sections d’enseignement et établissements afin de fournir un environnement unifié pour la formation continue en toute liberté, quel que soit le contributeur.

Rappelons que le maillon faible de la chaîne de sécurité d’un établissement, est bien souvent l’Humain. Même si les enseignants et encadrants sont généralement formés à ces risques, cela n’est pas toujours suffisant. En effet, il est particulièrement difficile d’imposer les mêmes consignes de sécurité aux étudiants, bien qu’ils soient de plus en plus sensibilisés aux tentatives de hacking. De plus, avec l’avènement de l’IA générative, il devient plus facile pour les acteurs malveillants d’éliminer les indices permettant de détecter la supercherie (fautes d’orthographe et de syntaxe) et de générer de faux enregistrements vidéo (deepfake), des emails impeccables ou encore de proposer des offres personnalisées alléchantes.

La valeur des données étant élevée et le niveau de défense faible, les pirates informatiques ont toutes les motivations nécessaires pour monter une attaque. Et, pour ne rien arranger, les écoles sont souvent prêtes à payer la rançon.

Comment les écoles peuvent-elles se protéger des cyberattaques ?

S’il est tentant de détourner le regard et d’espérer passer entre les mailles du filet, la stratégie de l’évitement est rarement la bonne. Toutefois, le point positif est que les écoles ne sont pas seules face à ce problème. Il existe des solutions de cybersécurité automatisées qui exploitent les avantages prédictifs de l’IA et aident les établissements (quelle que soit leur taille) à faire face aux pénuries de ressources cyber, sans faire exploser leurs budgets.

Autre possibilité pour réduire les coûts : elles peuvent également faire appel à un fournisseur de services de sécurité gérés (MSSP) pour déployer des solutions de protection des terminaux ou encore souscrire à un service de surveillance des menaces externes. Si l’objectif est de sécuriser les terminaux et les systèmes de sécurité réseaux (par le biais d’un service XDR par exemple), les écoles, les collèges, les lycées et les universités peuvent se doter de solutions professionnelles et avoir accès à des cyber-experts à moindre frais grâce cette approche.

Comme un élève qui prépare ses affaires pour la rentrée, si les équipes des établissements mettent en place des mesures élémentaires et nécessaires pour sécuriser correctement leurs données, alors l’année scolaire se déroulera sans accroc et sera pleine de promesses pour toute la communauté académique. Et, avec un peu de chance, l’excuse du « chien qui a mangé les devoirs » redeviendra la meilleure excuse pour les élèves français.