Cyberattaque: Les pirates informatiques ciblent les écoles
De nombreux établissements scolaires et d’enseignement supérieur sont confrontés à une recrudescence de cyberattaques. Le secteur de l’éducation serait-il la nouvelle marotte des pirates informatiques ? Pas tout à fait…
Si, depuis plusieurs mois, les collèges, les universités et autres écoles de commerce se retrouvent bien trop souvent dans la liste des organisations ciblées par les pirates informatiques, ce n’est pas parce qu’ils suscitent l’intérêt des cybercriminels : Ce sont des victimes collatérales d’attaques menées à plus grande échelle.
Pierre Lagarde, CTO du département secteur public au sein de Microsoft France s’exprime : Ce sont le manque de moyens informatiques des établissements et les lacunes du secteur en matière de formation qui font défaut. L’expert revient sur ce phénomène et nous explique les bonnes pratiques à adopter pour tordre le cou aux attaquants.
Pourquoi l’éducation est-elle si exposée aux cyberattaques ?
Un secteur mal protégé, dont la fragilité a été renforcée par l’enseignement à distance
Parcs informatiques tournant sur des systèmes d’exploitation obsolètes, équipements ni managés ni mis à jour, manque d’outils performants… Les infrastructures techniques des établissements scolaires sont insuffisantes. Quant à leurs systèmes d’information, ils représentent une porte d’entrée royale pour les menaces cyber en tous genres. Une surface d’attaque qui a d’ailleurs été largement amplifiée par la crise sanitaire et la généralisation de l’enseignement à distance.
« La pandémie a inévitablement entraîné une explosion des usages autour de l’apprentissage à distance. Cela a ajouté une couche supplémentaire sur des infrastructures qui n’étaient d’ores et déjà pas très stables » analyse Pierre Lagarde.
Les enseignants et membres de l’administration ont dû passer au tout-à-distance sans avoir eu le temps de se former, de s’outiller, ni même de mesurer l’impact que peut avoir l’ouverture de classes en ligne sur la sécurité informatique. « Tout a été fait dans l’urgence et les enseignants ont dû composer avec les moyens du bord » déplore Pierre Lagarde.
Rien qu’en France, plus de 12 millions d’élèves ont suivi l’école à la maison durant les confinements. Cette situation inédite n’a fait qu’accentuer la vulnérabilité du secteur de l’éducation face aux cyberattaques. Chacun a en effet passé plus de temps derrière les écrans – que ce soient les enseignants ou les élèves.
Les échanges par voie numérique ont connu une nette augmentation, pourtant l’inverse a été constaté sur la vigilance. De plus, « le fait d’avoir ouvert des services d’apprentissage à distance a indubitablement démultiplié l’usage du PC à la maison ». C’est une pratique qui a naturellement favorisé la recrudescence de certaines attaques, dont le phishing.
Lire aussi Protection des données : un enjeu capital
Le phishing, une autre forme des cyberattaques : ennemi n°1 des enseignants et des élèves
« On observe une montée des attaques par phishing ces derniers mois, tous secteurs confondus. Ces attaques sont responsables de plus de 70 % des fuites de données. C’est aujourd’hui la menace numéro un » explique l’expert.
Pourquoi donc les attaques par phishing suscitent-elles un tel engouement ? Tout simplement car elles permettent aux attaquants de cibler un grand nombre de structures et d’utilisateurs. Ceci permet de s’engouffrer facilement dans la brèche des équipements peu administrés ou peu sécurisés, comme ceux des écoles.
Selon Pierre Lagarde, le phishing est d’ailleurs en progression « sous toutes ses formes ». Phishing par email, phishing par SMS… On parle aussi désormais de Phishing as a service. « Le phishing as a service permet à quiconque d’acheter une campagne de phishing, et s’en servir à des fins malveillantes. Ça se passe sur le dark web, et ne nécessite pas de connaissances techniques particulières ».
Le corps enseignant et le personnel des administrations doivent donc redoubler de vigilance face à ces cyberattaques et aussi composer avec les ransomwares et les attaques par DDoS (Distributed Denial of Services).
Les attaques par ransomware visent un nombre croissant d’entreprises et de collectivités, et si les écoles présentent un intérêt financier moindre pour les attaquants, certaines structures ont néanmoins déjà été la cible de ces malwares. Quant aux attaques par DDoS, si elles sont moins fréquentes, elles peuvent impacter durablement la réputation d’un établissement. Cela peut aller de l’indisponibilité des espaces numériques de travail à la fuite de sujets menant à l’annulation d’examens et l’arrêt des échanges entre les parents d’élèves et les enseignants à titre d’exemple.
Donner aux établissements scolaires les moyens de se prémunir des cyberattaques
Outils, fichiers, identités : le point sur les bonnes pratiques de cybersécurité
Plusieurs bonnes pratiques sont à observer par les établissements scolaires et d’enseignement supérieur afin de renforcer leur cybersécurité :
- - Les services IT doivent s’assurer de la bonne configuration des outils et privilégier l’utilisation de produits et logiciels récents ;
- - Tous les périphériques et équipements des établissements doivent être maintenus à jour, avec une application régulière des correctifs ;
- -Une gestion des données sécurisée est nécessaire pour harmoniser la catégorisation des documents et mieux gérer les échanges de fichiers. Dans le but, entre autres, de limiter les fuites d’information ou la divulgation d’éléments stratégiques tels que les sujets d’examen.
A ceci s’ajoute la question centrale des identités. « Aujourd’hui, la cybersécurité des organisations passe en grande partie par la gestion des identités. C’est dorénavant un élément structurant auquel les établissements scolaires doivent aussi s’intéresser » indique Pierre Lagarde. L’objectif ici est d’instaurer un système capable de définir les identités associées aux différentes ressources. Ceci en partant du principe que chaque élève ou enseignant pouvant accéder auxdites ressources n’est potentiellement pas « la bonne identité ».
« Cette approche permet par exemple de s’assurer de l’identité d’un élève avant d’autoriser son accès au Wifi de l’établissement, ou de vérifier l’intégrité de l’identité d’un enseignant lorsque celui-ci souhaite accéder à des données d’examen » détaille Pierre Lagarde.
Une stratégie Zero Trust qui passe aussi par une meilleure gestion des identifiants de connexion au réseau d’un établissement. Une démarche qui peut se traduire par l’instauration d’une authentification multifacteur (MFA) ou d’une authentification sans mot de passe, en s’appuyant sur de solutions comme Azure Active Directory. « Ces approches permettent de réduire la compromission d’identité, et donc de limiter la surface d’attaque des établissements scolaires ».
La formation aux risques cyber, un apprentissage à part entière
La sensibilisation et la formation à grande échelle des enseignants, des élèves, des administrations et de l’IT des établissements sont aussi des piliers de la lutte contre la cybercriminalité. « Il y a tout un travail de fond à réaliser pour accompagner le secteur dans sa transformation digitale et lui donner des clés pour mieux appréhender les risques cyber » déclare Pierre Lagarde, pour qui cette « éducation » à la cybersécurité devrait faire partie intégrante du parcours d’apprentissage des élèves.
Exemple avec l’intelligence artificielle (IA) qui est utilisée à mauvais escient par certains attaquants, dans le but d’élaborer des attaques par phishing particulièrement poussées : c’est ce que l’on appelle le « phishing contextuel ».
Grâce à ce mode opératoire, les pirates informatiques mettent au point des campagnes de phishing très personnalisées, capables de tromper la vigilance de n’importe quel utilisateur, y compris les plus aguerris d’entre nous.
La sécurité informatique du secteur de l’éducation est un enjeu de taille que les grands acteurs du numérique doivent adresser : en fournissant aux établissements scolaires et d’enseignement supérieur les technologies et les outils nécessaires à leur protection, et en favorisant la montée en compétences de chacun, comme le fait Microsoft France au travers de son école de cybersécurité, dont la pédagogie permet de former le plus grand nombre.
Un kit pédagogique « La cybersécurité, mon futur métier », à destination des enseignants ou bien des professionnels de la cybersécurité qui souhaiteraient faire découvrir les opportunités professionnelles porteuses offertes par ce secteur est disponible en ligne.