Des écoles aux universités en passant par les laboratoires de recherche, c’est tout le monde de l’enseignement qui entretient un réservoir de données sensibles gigantesque. Et donc à protéger. Pourtant, le secteur de l’enseignement peine à prendre le sujet de la cybersecurité à bras le corps. Mise au point.
Au-delà des cas classiques de demande de rançon comme en a connu l’université de Corse en mai dernier, le vol de données sensibles est une motivation majeure dans les cyberattaques d’établissements scolaires. Cet été, l’école d’informatique Epitech n’a pu que constater la fuite sur le web de données personnelles de plusieurs étudiants et partenaires. En Floride l’année dernière, une attaque sur un groupe scolaire a touché plus de 50 000 personnes : élèves et anciens élèves, parents, professeurs et personnel non-enseignant dont le nom, la date de naissance, les coordonnées, les informations de connexion ainsi que des données académiques et même de santé se sont retrouvées entre de mauvaises mains…
Tout est bon pour avoir accès à la propriété intellectuelle d’un État
De plus en plus, les établissements deviennent également le théâtre de guerres commerciales et militaires à travers leurs laboratoires de recherche. Phishing pour s'approprier des technologies maritimes ou campagne massive de spoofing afin de se connecter aux bibliothèques en ligne, tout est bon pour avoir accès à des données sensibles.
Des cibles de choix, mais insuffisamment protégées
Pour Guillaume Rénier, Directeur Informatique et des Systèmes d’Information de l’Université de Cergy-Pontoise, « notre travail est de protéger la vie privée des usagers, surtout les étudiants, qui laissent de nombreuses traces en ligne ». Mais aussi des chercheurs qui travaillent sur des sujets stratégiques et confidentiels, avec un fort besoin de communiquer via des outils collaboratifs. Mais ces experts restent difficiles à mobiliser sur un sujet aussi abstrait que la cybersécurité. Pour cette raison, l’université a privilégié le déploiement d’un réseau Wi-Fi plutôt que l’utilisation du réseau 4G extérieur et travaille à sécuriser l’utilisation des outils existants (comme Dropbox par exemple). L’établissement étudie actuellement, avec Stormshield, une solution de surchiffrement pour cet outil.
Pirates potentiels ou personnes peu conscientes des enjeux de cybersécurité, deux populations tout aussi dangereuses l’une que l’autre
Robert Wakim, Offers Manager Stormshield
Il existe aussi un risque interne, tout aussi dangereux qu’une menace extérieure. En effet, des étudiants peuvent tenter d’accéder à des épreuves ou de falsifier des notes. Ainsi, un audit de sécurité auprès de 400 écoles britanniques révèle que 20% d’entre elles ont été piratées par leurs propres élèves ! Robert Wakim, Offers Manager chez Stormshield, résume le casse-tête : « nous sommes face à des millions de personnes qui sont soit des pirates potentiels, soit des personnes peu conscientes des enjeux de cybersécurité. Deux populations tout aussi dangereuses l’une que l’autre… ».
Comment améliorer la cybersécurité dans nos écoles ?
Alors que les outils connectés se multiplient dans les classes, le monde de l’enseignement doit relever de nouveaux défis autour de la sécurisation des réseaux, des postes de travail et des données sensibles. Avec le contexte actuel de regroupements croissants d’établissements scolaires sous la même direction informatique, la maîtrise de ces interconnexions est un point-clé.
Dans un premier temps, l’objectif est notamment de s’assurer que les terminaux de travail ne soient pas infectés – par exemple via des clés USB d’étudiants. Mais si l’un d’entre eux venait à se faire contaminer, la segmentation des réseaux joue alors un rôle fondamental pour éviter d’éventuelles contagions massives. Enfin, la maîtrise passe également par l’installation de coffres forts virtuels, permettant de chiffrer les données pour en restreindre l’accès uniquement aux chercheurs, professeurs ou autres étudiants autorisés.
Une question de sensibilisation
Dans l’éducation comme ailleurs, la cybersécurité passe largement par l’humain. Or, pour certains enseignants, le réseau informatique n’est qu’un outil secondaire : « s’il ne fonctionne pas, cela ne les empêche pas fondamentalement de travailler ; alors peut-être ne lui accordent-ils pas la même attention qu’en entreprise », analyse Robert Wakim.
La sensibilisation commence à se développer au sein des établissements
Xavier Prost, en charge des services formation et documentation chez Stormshield
« La sensibilisation commence à se développer au sein des établissements », observe Xavier Prost, en charge des services formation et documentation chez Stormshield. Avec des formations labellisées et reconnues SecNumEDU - Formation continue par l’Agence nationale de la sécurité des systèmes d'information (ANSSI), Stormshield accompagne professeurs et étudiants dans cette approche. « Mais elle reste trop souvent cantonnée dans des cursus spécialisés post-Bac. » Dès lors, comment toucher un plus grand nombre d’équipes pédagogiques et d’étudiants ? Et si la cybersécurité devait s’enseigner dès l’école ?
