La rentrée en toute sécurité : les cyberattaques dans le secteur de l’éducation
La rentrée a déjà bien commencé et les élèves comme les enseignants retournent en classe pour une nouvelle année scolaire. Et avec elle, revient son lot de cyber-attaques, rançongiciels, campagnes d’hameçonnage, les cyberattaques contre le secteur de l’éducation.
Les données des étudiants, des professeurs, mais aussi des laboratoires de recherches et des académies sont de plus en plus convoitées. Les cyberattaques contre les serveurs sont en hausse, sans que le monde de l’éducation ne soit toujours bien préparé. Le secteur de l’enseignement est considéré par les pirates informatiques comme une cible facile, parfois en retard sur le plan de la cybermaturité. Et sa transformation numérique à marche forcée pendant la pandémie COVID n’a fait qu’accélérer la tendance.
Ces dernières années, les hackers n’ont cessés d’attaquer des écoles et des universités, de l’Amérique du Nord à l’Europe en passant par l’Asie. En 2020, l’Université de Californie San Francisco a dû payer une rançon de 1,14 million de dollars après qu’une cyberattaque l’ait obligée à fermer sa faculté de médecine. Les pirates informatiques ont profité de la situation sanitaire désastreuse pour accélérer la transition vers des plates-formes d’apprentissage en ligne. Ils empêchent les professeurs d’accéder aux systèmes en cryptant toutes les données du réseau, volent les fichiers sensibles et les numéros d’assurance nationale, etc. Ces cybercriminels exigent des rançons et menacent de publier les données ou simplement exposer les utilisateurs du réseau d’enseignement à un vol potentiel d’identité.
En effet, les établissements d’enseignement disposent des adresses, des numéros de téléphone et même d’informations financières ou de sécurité sociale des étudiants, des employés voire des parents d’élèves. Les serveurs renferment également des données de recherches scientifiques très sensibles. Les données dans le secteur de l’éducation sont étonnamment précieuses – et vulnérables. Plus encore, certains laboratoires de recherches ont en leur sein des équipements médicaux connectés et numériques et des plateformes en ligne qui connectent les enseignants et les étudiants. Autant de portes d’entrées pour des cybercriminels mal intentionnés.
Cybersécurité 101 : les bases de l’accès et des identités
Preuves en sont, les attaques telles que les ransomwares, qui ont explosé ces dernières années, touchant tous les secteurs, y compris l’éducation. Ni les écoles primaires ni les universités internationales n’ont été épargnées, et pourtant… 84 % des dirigeants du secteur ne croient toujours pas que les cyberattaques constituent un risque !
Aujourd’hui, de nombreuses institutions du secteur de l’éducation partent de zéro en matière de cybersécurité. Selon une enquête menée par EdTech sur CoSN (le consortium américain pour la mise en réseau des écoles), les responsables informatiques du secteur de l’éducation considèrent la cybersécurité et la sécurité des données comme leur principale priorité technologique, mais moins d’un quart d’entre eux (seulement 23 %) ont un employé à temps plein dédié à la sécurité informatique.
Pourtant, la protection des données et de l’infrastructure informatique commence par le blocage des accès. Qui a accès à quelles données ? Comment y accède-t-on ? Quels accès à quelles plates-formes ? Le besoin d’accès est-il vraiment indispensable ? Comment les identités des utilisateurs sont-elles suivies et protégées ? Les utilisateurs se connectent-ils depuis le réseau ou, plus probablement compte tenu des récents événements de santé, se connectent-ils à distance ? Comment ces points d’entrée sont-ils protégés ?
Les principes de base de la sécurité des accès et des identités vont de l’intérieur vers l’extérieur :
- Protéger les « joyaux de la couronne » – les actifs sensibles tels que les serveurs et les données des étudiants, des chercheurs – qui ont besoin d’autorisations élevées.
Tracer leurs accès : Mettre en œuvre la Gestion des Accès à Privilèges (PAM) pour sécuriser les connexions à distance et sur site, surveiller les activités des utilisateurs privilégiés, protéger les mots de passe afin d’atténuer les risques associés aux vols d’informations sensibles et aux privilèges d’accès excessifs. - Défendre le secteur de l’éducation contre les cyberattaques de type ransomware, malware et cryptovirus :
Ajouter une couche de gestion de l’Endpoint Privilege Management (EPM) pour éliminer le besoin de droits d’administrateur local. Défendre l’infrastructure informatique et les postes de travail contre les attaques qui tirent parti de l’escalade des privilèges exposés pour exécuter des processus, des programmes et des données chiffrées. - Centraliser la gouvernance des identités des utilisateurs et des applications auxquelles ils accèdent afin de simplifier leur expérience dans un contexte où le nombre de plateformes et d’accès numériques ne cesse d’augmenter :
La fédération d’identités, le Single Sign-On (SSO) et l’authentification multifactorielle (MFA) organisent toutes les identités des utilisateurs, les plateformes auxquelles ils accèdent et les mots de passe qu’ils utilisent pour faciliter un accès sécurisé.
Un niveau supérieur : maîtriser les privilèges d’accès
La sécurité des accès et la gestion des identités sont le fondement d’une cybersécurité robuste dans un secteur assiégé par des acteurs malveillants qui cherchent à tirer parti de la soudaine transformation numérique. Ces solutions incontournables aident les établissements d’enseignement à faire évoluer leur cybermaturité vers le « Zero Trust », la sécurité du moindre privilège et au-delà.
- Zero Trust est un cadre ou une approche de la cybersécurité qui stipule qu’aucun utilisateur ou accès ne doit faire l’objet d’une confiance par défaut. Selon cette approche, les organisations peuvent protéger efficacement leur infrastructure informatique grâce à une politique de sécurité qui limite les privilèges d’accès, centralise et sécurise les informations d’identification et les points d’accès, et authentifie les identités pour garantir que les utilisateurs sont bien ceux qu’ils prétendent être et qu’ils disposent des droits nécessaires.
- Le Principe du Moindre Privilège, ou PoLP, est un concept de sécurité qui exige que les utilisateurs ne disposent que des privilèges d’accès minimums nécessaires pour effectuer leur travail. Grâce à ce principe, les utilisateurs peuvent demander des privilèges élevés pour effectuer une tâche ou remplir une obligation, mais cette élévation de privilèges sera limitée à une ressource spécifique, pour effectuer une tâche spécifique et pour une période spécifique. Les utilisateurs se voient accorder des privilèges selon un modèle de sécurité d’accès « Just in Time », et les privilèges sont révoqués une fois que le besoin qui les a amenés à les demander a expiré. Cette stratégie permet également d’obtenir des « Zero Standing Privileges », éliminant ainsi le risque d’accumulation de privilèges.
Ces deux concepts de sécurité avancée visent à réduire la surface d’attaque, en atténuant les risques de cybersécurité et en éliminant le surplus de points d’entrée, de vulnérabilités et de possibilités d’exploitation que les pirates utilisent pour accéder aux systèmes informatiques.
Un nouveau plan d’apprentissage : protéger le secteur de l’éducation
Le secteur de l’éducation a reçu une leçon au cours de l’année écoulée. Le changement rapide vers l’apprentissage hybride ou à distance a obligé de nombreuses institutions à effectuer une transition forcée vers des systèmes numériques. Les écoles, les établissements d’enseignement secondaire et les universités sont donc plus que jamais exposés aux cybermenaces, qu’il s’agisse de petits pirates informatiques ou d’attaques par ransomware à plus grande échelle. Mais les solutions existent. Les défis de transformation numérique du monde de l’enseignement peuvent donc être surmontés.