Depuis quelque temps, la cybersécurité occupe la une des médias. Or, sur les questions de sécurité numérique, certains secteurs sont souvent délaissés alors que le sujet peut être problématique. C’est précisément le cas de l’éducation. Aujourd’hui, avec le développement accéléré des classes virtuelles et en distanciel, la sécurité en ligne représente pour de nombreuses écoles et établissements d’enseignement un enjeu beaucoup plus déterminant qu’auparavant.
Un risque accru de ransomware
Dans de nombreuses structures éducatives, faute de protections suffisantes les attaques par ransomware sont courantes. Leur dépendance accrue à la technologie rend ces établissements de plus en plus vulnérables aux attaques.
Pendant l’épidémie de Covid-19 en 2020, de nombreuses écoles et universités ont dû s’adapter rapidement pour proposer des classes virtuelles, sans avoir eu le temps de mettre en place une stratégie de sécurité adéquate. Ces établissements ont vu le nombre d’e-¬mails d’hameçonnage et de compromissions de comptes de messagerie s’envoler, ainsi que les accès non autorisés à certaines de leurs bases de données et informations sensibles. Pour éviter de nouvelles attaques et réduire le risque de violations de données, ces structures éducatives vont devoir, à l’avenir, mettre la priorité sur leur stratégie de sécurité.
Une plus grande diversité d’appareils
Au-delà de la hausse du nombre d’équipements utilisés dans le secteur de l’éducation, le nombre d’étudiants parmi les utilisateurs de ces appareils a également atteint des chiffres record. Problème : cette augmentation du nombre de terminaux accroît d’autant plus la surface d’attaque potentielle pour les criminels. Avec des employés et des professeurs qui apportent leur propre tablette et ordinateur portable, ou des étudiants qui utilisent leur équipement personnel pour effectuer leurs recherches ou prendre des notes, l’environnement BYOD peut être difficile à sécuriser.
Comme le soulignent les experts en cybersécurité de Redscan, « de nombreuses organisations disposent dorénavant de politiques de BYOD (Bring Your Own Device) qui régissent l’utilisation des équipements personnels au travail. Mais les appareils non sécurisés présentent de multiples risques pour la sécurité. Les organisations doivent donc veiller à séparer les réseaux des bureaux, et réserver certains réseaux wifi aux équipements personnels. Enfin, tous les équipements qui appartiennent au personnel doivent être équipés d’un logiciel de protection des terminaux. »
Une mine de données de valeur
Les écoles et les universités représentent une mine d’informations personnelles, avec les noms et adresses des étudiants ou encore leurs données financières. Dans les zones plus éloignées, les systèmes scolaires représentent souvent le plus gros employeur de la région ; ils constituent à ce titre un formidable vivier de données RH. Enfin, ces établissements ont également accès à des données de propriété intellectuelle et de recherche qui peuvent avoir de la valeur.
Pour conserver ces précieuses données en sécurité, le secteur de l’éducation doit mettre la priorité sur la sécurisation des informations sensibles ou propriétaires pour les protéger des activités malveillantes. L’utilisation de mots de passe forts et de l’authentification multifacteur, ainsi que les mises à jour logicielles régulières contribuent à empêcher que les données n’atterrissent entre de mauvaises mains.
Se préparer aux attaques à venir
Les établissements d’enseignement ne doivent pas uniquement protéger leurs données contre le risque d’une utilisation immédiate. Il leur faut aussi se prémunir d’une utilisation [malveillante] de ces données à plus long terme. Pourquoi les hackers ciblent-ils les écoles ? Ils cherchent, entre autres, à récupérer des informations personnelles sur les enfants. Ils conservent ensuite ces informations et élaborent des plans d’usurpation d’identité pour les mettre en application dans les années à venir. Autrement dit, il peut s’écouler cinq à dix ans avant que les victimes ne s’aperçoivent que quelque chose ne va pas.
La collecte des données concernant les enfants peut intervenir de plusieurs façons : lorsque les enfants interagissent avec un appareil intelligent, qu’ils utilisent des applications éducatives ou se connectent aux médias sociaux. Pour lutter contre les activités cyber malveillantes, il est par conséquent indispensable de savoir comment les données sont collectées et stockées. Autre point important : le personnel pédagogique et administratif ainsi que les élèves doivent être vigilants lorsqu’ils surfent sur Internet ou transmettent des informations personnelles en ligne. Pour éviter les vols, ils doivent s’assurer que toutes les données sont stockées de manière sécurisée. Et pour bénéficier d’une protection renforcée, ils s’équiperont, en prime, d’un logiciel anti-ransomware.
La menace de l’informatique fantôme
On qualifie d’informatique fantôme (Shadow IT) une multitude d’activités et d’achats liés aux technologies qui passent sous le radar des vérifications et contrôles des départements IT. Dans tous les secteurs, y compris l’éducation, le phénomène – qui concerne le matériel, les services cloud ou les logiciels standard – pose problème. Dans les établissements, enseignants et personnels administratifs souhaitent adopter les nouvelles technologies pour améliorer l’expérience d’apprentissage de leurs élèves. Mais s’ils ne connaissent pas les vulnérabilités de ces outils et appareils, ils peuvent mettre en danger leur établissement tout entier.
En résumé
La gestion d’un environnement scolaire n’a absolument rien à voir avec la gestion d’une entreprise, mais lorsqu’il s’agit de sécurité en ligne, on note de nombreuses similitudes. Pour préserver leur réputation et protéger leur personnel et leurs étudiants, les établissements d’enseignement doivent mettre l’accent sur les méthodes qui visent à protéger leurs données des accès non autorisés.
À cause d’un manque de ressources imputable à des budgets insuffisants, les établissements se retrouvent exposés aux cyberattaques. La culture du BYOD répandue chez les étudiants et le personnel ainsi que l’absence de politique stricte pour régir l’utilisation des technologies contribuent à rendre le secteur de l’éducation vulnérable face à la menace cyber. À partir de là, reste à mettre la priorité sur les systèmes et les stratégies qui permettront de réduire le risque d’attaques.
Remarque : cet article de blog a été rédigé par un contributeur invité dans le but d'offrir une plus grande variété de contenu à nos lecteurs. Les opinions exprimées dans cet article d'auteur invité sont uniquement celles du contributeur et ne reflètent pas nécessairement celles de GlobalSign..
