6 bonnes pratiques pour renforcer la cybersécurité des écoles et universités
Dans le film WarGames, l'acteur Matthew Broderick jouait un brillant étudiant qui, entre autres aventures, pirate le système informatique de son école pour changer ses notes. Ce genre d’intrusion est aujourd’hui chose fréquente.
Les établissements scolaires et de l’enseignement supérieur sont de plus en plus la cible des cybercriminels. Leur but : paralyser les opérations informatiques et exiger une rançon en contrepartie d’un retour à la normale, pirater des comptes financiers, dérober puis revendre les données personnelles des élèves et du personnel, etc.
Voici quelques bonnes pratiques à mettre en œuvre pour limiter les risques tout en maintenant une bonne expérience utilisateur.
1. Limiter au maximum les privilèges administrateurLes cybercriminels adorent les réseaux où tous les utilisateurs disposent de privilèges administrateur. Pour une protection efficace contre les malwares et les ransomwares, ces privilèges doivent uniquement être appliqués aux membres du personnel qui en ont réellement besoin pour travailler.
Dans la pratique, il s’agira de supprimer complètement les droits administrateur, puis d’élever de façon sélective le juste privilège pour chaque utilisateur ou groupe d’utilisateurs. Idéalement, l’académie ou l’établissement mettra également en place une technologie qui non seulement gère les identifiants et droits d’accès de façon centralisée, mais offre aussi au personnel un accès en self-service aux outils informatique, défini selon le poste de chacun.
2. Former les collaborateurs à une vigilance constanteLes attaques par ransomware, très coûteuses, sont déclenchées par des actes aussi bénins que l'ouverture d'un e-mail ou un clic sur un URL. Les cybercriminels sont très doués pour utiliser des outils de marketing et de réseau social qui paraissent inoffensifs et encouragent à cliquer sur des liens frauduleux.
Une sensibilisation basique ne suffit pas pour lutter contre la cybercriminalité. Les équipes informatiques doivent mettre en place un programme de formation continue, visant à faire connaître les dernières tendances en matière de cyberattaque et à sensibiliser les nouveaux collaborateurs aux politiques de cybersécurité de l’établissement. Des exercices pourront également être proposés, comme de fausses campagnes d'hameçonnage délivrant des messages de sensibilisation aux collaborateurs qui se feraient piéger.
3. Impliquer aussi les étudiantsLa génération actuelle d'élèves et d’étudiants est plus experte en matière de terminaux mobiles que toutes celles qui l'ont précédée. Mais la sécurité de leur établissement n’est que rarement leur priorité quand ils utilisent leur téléphone, leur tablette ou leur ordinateur portable. De même que le service informatique peut former et encourager les collaborateurs à être plus prudents face aux cybermenaces, il peut aider les enseignants et l’administration à expliquer aux élèves que les fuites de données les affectent personnellement, et peuvent faire du tort à leurs camarades et à leur école.
Pour compléter cette formation à la sécurité, les écoles peuvent aussi publier sur leurs réseaux sociaux, au même titre qu’elles communiquent déjà sur leurs actualités et événements, des conseils et rappels sur les techniques des cybercriminels telles que les pop-ups frauduleux, ou sur l'ouverture de fichiers provenant d'expéditeurs inconnus.
4. Déployer les mises à jour pour toutes les applicationsLe déploiement des mises à jour et correctifs de sécurité est indispensable pour prévenir de nouvelles attaques. Ce doit être l'une des premières priorités du service informatique, et inclure aussi bien les applications tierces que les systèmes d'exploitation. Notamment, Microsoft publie régulièrement des correctifs, le service informatique doit repérer celles qui sont de nature critique et s'assurer qu'elles sont bien appliquées.
5. Ne pas sous-estimer les risques liés aux fournisseurs tiers
Si vos fournisseurs et sous-traitants ne disposent pas de solides protocoles de sécurité, votre établissement et vos étudiants sont en danger. Un exemple concret : une faille chez Aimsweb, un outil de suivi des notations des élèves, a permis le piratage d'un important volume de données personnelles sur 13 000 comptes d'écoles et d'universités de l'Etat de New York aux Etats-Unis. L’attaque se serait produite en novembre 2018, mais le fournisseur n’en aurait pris conscience qu’en mars 2019 après avoir été averti par le FBI.
L'évaluation des risques doit être appliquée à tous les fournisseurs tiers qui accèdent à vos données et à celles de vos élèves, afin de garantir que leurs opérations et leurs méthodes répondent aux normes de prévention des menaces.
6. Souscrire à une assurance dédiée aux opérations informatiques
Les établissements scolaires et de l’enseignement supérieur ajoutent de plus en plus souvent une couverture Cybermenaces à leurs contrats d'assurance pour parer à la multiplication des attaques par ransomware. Certaines peuvent ainsi couvrir les coûts de recours à des experts de la sécurité pour déverrouiller les ordinateurs et les systèmes de messagerie en cas de piratage.
L’administration et le service Finance doivent examiner le coût de ce type d'assurance et le comparer au prix des opérations de récupération en cas de verrouillage des systèmes et/ou de fuite de données, et déterminer la formule d'assurance appropriée. Certains contrats d'assurance standard autorisent l'ajout d'une cyber assurance. Cependant, la tendance est plutôt à l'émergence d'une nouvelle catégorie d'agences qui se spécialisent dans la cyber assurance.
Prévention des cyberattaques : un processus inclusifIl est essentiel que tous - administration, service informatique, enseignants, élèves et parents - soient conscients du problème des cyberattaques pour éviter toute interruption des opérations de l'établissement. En combinant un meilleur engagement et de meilleures pratiques de sécurité, vous réduisez les risques d'exposition de l'école ou de l'académie aux menaces. N'oubliez pas que les fournisseurs tiers sont une composante essentielle d'une stratégie complète de protection des données. Au sein de l'infrastructure de l'école, une application cohérente et systématique des correctifs, ainsi que des contrôles d'accès renforcés, constituent eux aussi des moyens relativement économiques pour ajouter des niveaux de protection des données.