Nous souhaitons tous offrir la meilleure éducation possible à nos enfants. Cependant, même les stratégies les mieux élaborées peuvent échouer face à un adversaire agile, persistant et rusé.
Les groupes d’attaques alignés sur des États-nations et les cybercriminels constituent aujourd'hui l'une des menaces les plus sérieuses pour les écoles, collèges et universités. Selon Microsoft, le secteur éducatif était le troisième secteur le plus ciblé au deuxième trimestre 2024.
Les chercheurs d'ESET ont observé des groupes APT sophistiqués ciblant des institutions éducatives dans le monde entier. Entre avril et septembre 2024, le secteur éducatif figurait parmi les trois secteurs les plus attaqués par des groupes APT liés à la Chine, occupait les deux premières places pour la Corée du Nord, et se classait parmi les six premiers pour les acteurs associés à l'Iran et à la Russie.
Pourquoi les pirates informatiques s'attaquent-ils aux établissements scolaires ?
Au Royaume-Uni, 71 % des établissements d'enseignement secondaire et presque la totalité (97 %) des universités ont signalé une violation de sécurité ou une attaque grave au cours de l'année 2024, contre seulement la moitié (50 %) des entreprises, selon les statistiques gouvernementales. Aux États-Unis, les données les plus récentes du K12 Security Information Exchange (SIX) révèlent qu'entre 2016 et 2022, le pays a subi plus d'un cyber incident par jour d'école.
Mais pourquoi les établissements d'enseignement sont-ils des cibles aussi prisées ? C'est le résultat d'une combinaison de facteurs : réseaux vulnérables, grand nombre d'utilisateurs, données hautement monnayables, et ressources limitées en expertise et en budget de sécurité. Examinons ces aspects plus en détail :
Budget et expertise limités
Le secteur éducatif peut difficilement rivaliser avec les entreprises privées mieux financées lorsqu'il s'agit de recruter des talents en cybersécurité. Ces mêmes contraintes budgétaires impliquent que les institutions disposent généralement de peu de moyens pour investir dans des outils de sécurité. Un rapport indique que les attaques par rançongiciel contre les écoles et collèges américains depuis 2018 leur ont coûté 2,5 milliards de dollars uniquement en temps d'interruption de service.
Appareils personnels
Selon Microsoft, l'utilisation d'appareils personnels (BYOD) est courante dans les écoles américaines. À l'université, les étudiants du monde entier doivent fournir leurs propres ordinateurs portables et appareils mobiles. Si ces appareils sont autorisés à se connecter aux réseaux de l'établissement sans contrôles de sécurité adéquats, ils pourraient involontairement offrir aux acteurs malveillants un accès à des données et systèmes sensibles.
Vulnérabilité humaine
Les utilisateurs demeurent l'un des plus grands défis pour les responsables de la sécurité. Le grand nombre d'employés et d'étudiants dans les environnements éducatifs en fait une cible privilégiée pour l'hameçonnage. La sensibilisation est essentielle. Cependant, au Royaume-Uni par exemple, seulement 5 % des universités la rendent obligatoire pour les étudiants.
Une culture d'ouverture
Les écoles, collèges et universités ne fonctionnent pas comme des entreprises classiques. Une culture favorisant le partage d'informations et la collaboration externe peut engendrer des risques et offrir aux auteurs de menaces des opportunités à exploiter. Des contrôles plus stricts, particulièrement sur les communications par courriel, seraient préférables. Mais cela s'avère difficile quand de nombreux tiers sont connectés, qu'il s'agisse d'anciens élèves, de donateurs, d'organismes caritatifs ou de fournisseurs.
Une large surface d'attaque
La chaîne d'approvisionnement de l'éducation n'est qu'un aspect d'une surface de cyberattaque croissante qui s'est étendue ces dernières années avec l'avènement de l'apprentissage virtuel et du travail à distance. Qu'il s'agisse de serveurs cloud, d'appareils mobiles personnels, de réseaux domestiques ou d'un grand nombre d'employés et d'étudiants, les acteurs malveillants disposent de nombreuses cibles potentielles. Le fait que de nombreux établissements d'enseignement utilisent des logiciels et du matériel obsolètes, potentiellement non corrigés et non pris en charge, aggrave la situation.
Données personnelles et propriété intellectuelle
Les écoles et universités stockent, gèrent et traitent d'importants volumes d'informations personnellement identifiables sur le personnel et les étudiants, y compris des données médicales et financières. Cela en fait une cible attrayante pour les acteurs de rançongiciels et les fraudeurs motivés par l'argent. Mais ce n'est pas tout. Les recherches sensibles menées par de nombreuses universités les exposent également à l'attention des États-nations. Le directeur général du MI5 a alerté les dirigeants des principales universités britanniques à ce sujet en avril 2024.
La menace est bien réelle
Il ne s'agit pas de menaces théoriques. L'agence de sécurité de l'UE, l'ENISA, a documenté plus de 300 incidents ayant touché le secteur entre juillet 2023 et juin 2024. De nombreux autres cas ne sont pas signalés. Les universités subissent continuellement des attaques par rançongiciel, parfois avec des conséquences dévastatrices.
Concernant les tactiques, techniques et procédures (TTP) employées pour cibler les établissements du secteur éducatif, celles-ci dépendent de l'objectif final et du type d'acteur malveillant. Les attaques soutenues par des États sont souvent sophistiquées, comme celles du groupe iranien Ballistic Bobcat (également connu sous les noms APT35 ou Mint Sandstorm). ESET a observé cet acteur tenter de contourner les logiciels de sécurité, y compris l'EDR, en injectant du code malveillant dans des processus légitimes et en utilisant plusieurs modules pour échapper à la détection.
Au Royaume-Uni, les rançongiciels sont considérés par les universités comme la principale cybermenace pour le secteur, suivis par l'ingénierie sociale/l'hameçonnage et les vulnérabilités non corrigées. Aux États-Unis, un rapport du ministère de la Sécurité intérieure affirme que :
« Les districts scolaires K-12 ont été une cible quasi constante des rançongiciels en raison des contraintes budgétaires informatiques des systèmes scolaires et du manque de ressources dédiées, ainsi que du succès des acteurs du rançongiciel à extorquer des paiements à certaines écoles qui sont tenues de fonctionner à des dates et heures précises. »
L'expansion de la surface d'attaque, incluant les appareils personnels, les technologies obsolètes, le grand nombre d'utilisateurs et les réseaux ouverts, facilite grandement la tâche des acteurs malveillants. Microsoft a d’ailleurs signalé une recrudescence d'attaques utilisant les QR codes. Ceux-ci sont conçus pour alimenter des campagnes d'hameçonnage et de logiciels malveillants via des codes malintentionnés sur les courriels, les dépliants, les cartes de stationnement, les formulaires d'aide financière et autres communications officielles.
Comment les établissements scolaires peuvent-ils atténuer les cyber risques ?
Il peut exister un ensemble unique de raisons pour lesquelles les acteurs malveillants ciblent les écoles, collèges et universités. Mais de manière générale, les techniques qu'ils utilisent ont fait leurs preuves. Cela signifie que les règles habituelles de sécurité s'appliquent :
- Appliquez des mots de passe robustes et uniques ainsi que l'authentification multifactorielle (MFA) pour protéger les comptes
- Pratiquez une bonne hygiène informatique avec des mises à jour, des sauvegardes fréquentes et le chiffrement des données
- Élaborez et testez un plan solide d'intervention en cas d'incident afin de minimiser l'impact d'une violation de données
- Formez le personnel, les étudiants et les administrateurs aux meilleures pratiques de sécurité, notamment à la détection des courriels d'hameçonnage
- Partagez avec les élèves une politique détaillée d'utilisation acceptable et d'utilisation des appareils personnels (BYOD), incluant les mesures de sécurité que vous attendez qu'ils installent sur leurs appareils
- Associez-vous à un fournisseur de cybersécurité réputé qui protège vos terminaux, données et propriété intellectuelle
- Envisagez d'utiliser un service de détection et réponse gérées (MDR) pour surveiller les activités suspectes 24 heures sur 24 et 7 jours sur 7, et aider à détecter et contenir les menaces avant qu'elles n'affectent l'organisation
Les établissements éducatifs du monde entier font déjà face à de nombreux défis, qu'il s'agisse de pénuries de personnel qualifié ou de problèmes de financement. Mais ignorer la cybermenace ne la fera pas disparaître. Si elles s'intensifient, les violations peuvent causer d'énormes dommages financiers et de réputation, ce qui, pour les universités en particulier, pourrait être catastrophique. En définitive, les failles de sécurité diminuent la capacité des établissements à offrir la meilleure éducation possible. C'est un enjeu qui devrait tous nous préoccuper.
