98 % des 40 premières universités françaises ne sont pas protégées contre la fraude par email. Alors que l’enseignement en ligne va se poursuivre dans le contexte de pandémie, il est primordial de tirer dès à présent les bonnes leçons en matière de cybersécurité pour protéger étudiants, professeurs et universités.
En 2019, le secteur de l’enseignement a subi une vague de cyberattaques sans précédent, enregistrant la plus forte augmentation de fraude par email (+ 192 %), avec une moyenne de 40 attaques par établissement. En 2017, le secteur s’est même retrouvé dernier dans un classement international évaluant le niveau de préparation en termes de cybersécurité de 17 secteurs d’activité…
Le secteur public a toujours été une cible de choix pour les cybercriminels, et l'enseignement tout particulièrement. Désormais, ce secteur a priori déjà mal préparé se retrouve confronté à un défi encore plus grand : l’obligation de passer au moins partiellement à un apprentissage en ligne, sous le coup de la pandémie de coronavirus. Le secteur, déjà en difficulté pour sécuriser ses nombreux points d'accès, voit ainsi sa surface d'attaque potentielle augmenter rapidement.
Et les cybercriminels n'ont pas perdu de temps pour s’engouffrer dans la brêche. Ils cherchent activement à exploiter cette nouvelle dépendance à l'égard des solutions de cours en distanciel. En l'absence de changements significatifs dans les environnements de sécurité, le secteur de l’enseignement restera une cible facile. Or les établissements scolaires et de l’enseignement supérieur détiennent de nombreuses données sensibles sur les individus, peut-être plus que tout autre secteur, en dehors de la santé : nom, adresse, date de naissance, numéro de sécurité sociale, voire coordonnées bancaires et dossiers médicaux, etc.
Une catastrophe en prévision ?
Chaque école, collège ou université est une cible potentielle. Comme les établissements de santé, les établissements scolaires doivent également assurer une certaine continuité de service. L'annulation des examens ou l’invalidation des notes ne sont pas envisageables. Les cybercriminels le savent, ce qui fait également de ce secteur l'un des plus visés par les attaques de ransomware, comme ce fut récemment le cas dans des universités en Corse ou à Maastricht.
Vient ensuite la question des utilisateurs. Contrairement à la croyance populaire, la jeune génération est souvent plus détendue à l'égard de la cybersécurité que ses homologues plus âgés. La faiblesse des mots de passe, leur partage et la réutilisation des identifiants de connexion sont monnaie courante, notamment chez les étudiants.
Facteur aggravant : les institutions du secteur public ne sont pas connues pour leurs budgets informatiques importants. Elles n'ont pas non plus la chance de disposer d'une abondance de professionnels qualifiés en matière de cybersécurité. Il en résulte naturellement un manque de contrôle.
Les universités françaises, mauvaises élèves en cybersécurité
L’email étant le principal vecteur utilisé pour propager une cyberattaque, vérifier le niveau de sécurité de ce canal est un bon indicateur du risque encouru pour une organisation. Et le moyen le plus efficace pour contrôler ce niveau de sécurité consiste à vérifier l’adoption du protocole DMARC (Domain-based Message Authentication, Reporting & Conformance). Véritable standard en matière de protection contre la fraude par email, ce protocole permet d’authentifier les expéditeurs et de protéger les usagers contre les cybercriminels qui cherchent à usurper l’identité d’une institution ou marque de confiance.
Or selon une récente étude, 57 % des 40 premières universités françaises n'ont pas du tout publié d’enregistrement DMARC (Domain-based Message Authentication, Reporting & Conformance) et 40 % ont un enregistrement incomplet. Au final, seule une seule université parmi les plus prestigieuses en France a mis en œuvre le niveau de protection le plus strict et recommandé de DMARC (Reject), qui empêche les emails frauduleux d’atteindre leur cible. Ne pas s’aligner pleinement à ce standard expose malheureusement de nombreux étudiants à des attaques de phishing, prétendant venir de LEUR établissement…
Protéger ses données pendant la pandémie
L'impact du coronavirus a donc aggravé une situation déjà précaire. Des données, des réseaux et des infrastructures qui étaient déjà mal sécurisés se retrouvent dans un environnement étendu et ouvert, beaucoup plus difficile à défendre.
De nombreux établissements, débordés par la nécessité de sécuriser un environnement largement circonscrit, ont dû rapidement déployer des plateformes virtuelles d'apprentissage en ligne, des réseaux privés virtuels etc. Et pour atteindre cet objectif, certains ont pris des raccourcis et renoncé aux meilleures pratiques en matière de sécurité.
Le Global Threat Activity Tracker de Microsoft indique que plus de cinq millions de logiciels malveillants ont été détectés dans le secteur de l'enseignement au cours des 30 derniers jours. Cela représente près des deux tiers de tous les incidents liés aux logiciels malveillants dans les huit secteurs les plus touchés. Le deuxième secteur le plus touché, celui des services aux entreprises et des services professionnels, n'a connu que 842.000 événements au cours de la même période.
Les essentiels pour une rentrée réussie
Il est clair que ce secteur est attaqué. 99% des cyberattaques nécessitant une action humaine pour aboutir (cliquer sur un lien, télécharger une pièce jointe, etc.), la meilleure défense est de se concentrer sur les personnes qui sont attaquées.
Les établissements doivent donc veiller à ce que l'ensemble du personnel et des étudiants soient sensibilisés aux bonnes pratiques en matière de sécurité et aux mécanismes de fraude le plus fréquemment utilisés par les cybercriminels. Une attention particulière doit notamment être portée à la messagerie électronique. Savoir identifier une tentative de fraude est primordial pour pouvoir l’éviter. Certains signes sont assez révélateurs du phishing, comme les fautes d'orthographe et de grammaire, les demandes urgentes, les demandes d'informations non sollicitées et les liens usurpés.
Outre une formation approfondie et continue, il faut fournir un ensemble clair de consignes de sécurité à suivre, que ce soit à la maison ou en classe. Ces directives devraient couvrir le partage et la réutilisation des identifiants, l'utilisation des dispositifs personnels et du stockage externe, la protection des données et d'autres bonnes pratiques courantes. Des outils et mesures de contrôle doivent également être déployés pour protéger les données et réseaux, ainsi qu'une authentification multifactorielle sur tous les systèmes, appareils et applications.
Une fois de plus, le renforcement de la sécurité du courrier électronique devrait être une priorité absolue. Il existe des solutions qui permettent d’identifier et filtrer les messages suspects, ou encore signaler les comportements tels que la suppression des alertes de connexion, l'utilisation anormale des appareils et tout indicateur de compromission de compte.
Nul ne sait combien de temps encore l'apprentissage en ligne sera nécessaire pour les étudiants. Ce qui sûr, en revanche, c'est que la cyber menace qui pèse sur le secteur de l’enseignement se poursuivra bien après la rentrée. Les équipes de sécurité doivent agir au plus vite pour protéger les établissements et les étudiants.