Au début du mois d’août, l’université Paris-Saclay a été victime d’une cyberattaque par ransomware, touchant l’ensemble de ses serveurs internes et impactant plusieurs facultés et IUT.
L’urgence de la rentrée : assurer la continuité d’activité des universités face aux cyberattaques
À quelques semaines de la rentrée scolaire, les équipes universitaires ne peuvent plus accéder à leur messagerie, intranet ou encore aux applications partagées et craignent pour l’intégrité de leurs données. L’université a appelé son personnel à se tourner vers des solutions de communication alternatives, telles que Whatsapp ou Signal. Mais les risques sont nombreux.
En pleine crise, le personnel des établissements a pour mission d’assurer la continuité des projets pédagogiques et doit poursuivre ses échanges, souvent confidentiels, au sujet des différents travaux de recherche. La sécurité des outils de communications utilisés doit donc être maximale, pour éviter de créer de nouvelles brèches de sécurité, alors même que l’enquête confiée à l’ANSSI étudie actuellement la nature et l’étendue des données déjà perdues suite à la cyberattaque. La protection du potentiel scientifique et technique de la nation est en jeu.
Dans l’urgence, la tentation est grande de se tourner vers des solutions de communication grand public. Mais cela expose les organisations, déjà largement éprouvées, à de nouveaux risques de cybersécurité. En effet, outre le fait que l’utilisation de ces solutions ne soit pas ou peu encadrée, certaines d’entre elles ne répondent pas à des critères de sécurité et de conformité stricts et peuvent entraîner de nouvelles pertes de données. De plus, le personnel plus ou moins formé aux bonnes pratiques de cybersécurité peut présenter, sans le vouloir, des comportements à risque sur ces plateformes (diffusion de données personnelles, de documents protégés…). Sur son site web, l’université Paris-Saclay demande à ses collaborateurs d’éviter le partage d’informations sensibles via ces solutions de communications alternatives : mais quels sont les critères pour identifier ce type d’informations ? et comment s’assurer de l’application de cette directive ?
La mise en place d’une stratégie de cyber-résilience, à la fois sur le plan technologique et organisationnel, intégrant l’adoption d’outils alternatifs certifiés et validés, est essentielle. En plus de répondre aux exigences de NIS 2, cela permettra aux universités de faire face à une hausse de cyberattaques dans le secteur académique et à leurs conséquences multiples pour les chercheurs, les étudiants et la nation.