Comme de nombreuses collectivités locales, et en particulier le monde médical, les rançongiciels constituent la cybermenace la plus importante pour le secteur de l’éducation. Il faut dire que les établissements scolaires sont des cibles faciles pour les rançongiciels, notamment car ils manipulent des données personnelles précieuses et ne bénéficient pas toujours d’un niveau de protection suffisant. C’est d’ailleurs ce que note un rapport de l’ANSSI. Pascal Le Digol, Country Manager France chez WatchGuard, nous livre son anayse.
Pascal Le Digol, Country Manager France chez WatchGuard
L’Agence Nationale pour la Sécurité des Systèmes d’Information notait ainsi que les attaques par rançongiciel avaient augmenté de 255 % l’an dernier, et qu’elles ciblaient notamment les collectivités locales en raison de leur faible niveau de sécurité et des précieuses informations qu’elles hébergent.
Et la situation est identique à l’étranger. Aux États-Unis, par exemple, après une cyberattaque en décembre 2021, le Lincoln College a dû fermer ses portes au mois de mai suivant, car tous les systèmes nécessaires aux missions de recrutement, de fidélisation et de collecte de fonds étaient toujours inopérants.
A lire aussi : Nouveau directeur de l’Anssi, plan pour les hôpitaux, formations… Un début d’année 2023 qui change les perspectives en cybersécurité
L’une des raisons à cela, bien entendu, tient au sous-financement dont souffre trop souvent hélas le milieu scolaire en matière de cybersécurité. Nombreux sont en effet les établissements qui ne peuvent se permettre les mêmes cyberdéfenses sophistiquées que celles qui protègent les entreprises. Et peu d’entre eux disposent d’équipes d’experts en cybersécurité dédiées.
Les écoles s’appuient en outre souvent sur des systèmes informatiques plus anciens et plus vulnérables qui ne sont pas corrigés ou mis à jour régulièrement. Et comme certains de leurs services doivent être accessibles à distance aux élèves (et cela d’autant plus depuis la crise sanitaire) et à leurs parents, ceux-ci sont exposés aux risques véhiculés par Internet et donc plus vulnérables là aussi.
Ajoutons à cela que les enseignants et les élèves utilisent leurs propres ordinateurs pour se connecter à distance, et on comprend vite pourquoi les établissements scolaires présentent un vaste champ d’attaque que les pirates peuvent exploiter plus aisément.
Deuxièmement, les attaquants savent que les écoles et les établissements d’enseignement supérieur n’ont d’autre recours que de payer s’ils sont victimes d’une attaque par rançongiciel. En France, cela est certes interdit aux établissements publics. Mais les attaquants, le plus souvent basés à l’étranger, ne le savent pas. Ils savent simplement que partout dans le monde la plupart des écoles ne disposent pas de la sophistication technique nécessaire — ou du budget — pour récupérer leurs précieuses données en cas de chiffrement, et que les données personnelles qu’elles hébergent sont critiques.
Et ils n’ont pas tort : la volonté d’éviter de perturber les cours, associée aux conséquences possibles d’une fuite de données personnelles concernant les élèves, crée une pression massive pour payer les rançons (qui ont atteint jusqu’à un demi-million de dollars aux États-Unis).
En bref, le fait d’être des cibles faciles et d’avoir une forte propension à payer fait des écoles des cibles presque incontournables pour les pirates, y compris en France, où pourtant une école publique ne paiera jamais de rançon.
Heureusement, et malgré l’augmentation de la cybermenace, il existe des stratégies efficaces pour rendre les écoles plus sûres (surtout à l’ère de l’apprentissage hybride) et les aider à améliorer leurs capacités de détection et de prévention des menaces.
La première étape consiste à renforcer la sensibilisation du personnel administratif, des enseignants et des élèves aux cyberrisques. Des programmes de formation et de sensibilisation peuvent aider les utilisateurs à adopter des pratiques plus sûres dans la gestion de leurs identifiants de connexion et lors des accès aux systèmes, sur site ou à distance.
Une telle sensibilisation devrait inclure :
- La détection des tentatives d’hameçonnage (dans le cadre desquelles les attaquants tentent d’inciter les utilisateurs à fournir leurs identifiants de connexion).
- L’utilisation des meilleures pratiques en matière de sécurité des emails (détecter les emails provenant d’acteurs malveillants)
- Éviter les mots de passe faibles ou exposés
- Signaler les incidents, même mineurs, au service informatique
Une autre stratégie importante pour réduire le cyberrisque au sein des écoles et minimiser la menace des rançongiciels est de s’appuyer à minima sur des solutions telles que :
- Le filtrage des contenus: cela comprend bien sûr le blocage pur et simple des sites Web potentiellement malveillants, mais également l’accès aux emails ou aux fichiers qui peuvent eux aussi conduire à l’exploitation de vulnérabilités et donc à des incidents. Ces restrictions offrent une excellente protection contre les menaces et favorisent en outre le respect des règles sur l’exposition des mineurs à des contenus inadaptés. Le filtrage de contenu peut être déployé à l’aide d’appareils matériels ou de logiciels hébergés localement, ou encore en tant que service dans le Cloud (SaaS).
- Surveillance de l’accès: il est important de disposer d’outils capables d’identifier les comportements suspects sur un réseau compromis, afin d’être en mesure de réagir au plus vite. De tels outils permettent en outre souvent aussi de mieux gérer le réseau, la bande passante et donc d’améliorer le confort quotidien des utilisateurs (un point important dans le cadre des cours en ligne, notamment)
- Authentification multifacteur (MFA): les systèmes d’authentification par mot de passe sont intrinsèquement faibles. Les informations d’authentification volées sont souvent utilisées dans le cadre des attaques de rançongiciel. L’authentification multifacteur exige une vérification supplémentaire (comme une empreinte biométrique ou la saisie d’un code sur un appareil mobile reconnu) avant d’accorder l’accès à un réseau ou à des données. Même si cela représente un coût supplémentaire (en particulier s’il faut le déployer auprès de tous les élèves), les établissements scolaires devraient malgré tout mettre en œuvre la MFA de manière prioritaire pour protéger l’accès à distance à leurs systèmes d’information. Il conviendra de rechercher une solution offrant une expérience utilisateur optimale et permettant d’activer facilement l’authentification depuis le téléphone personnel de l’utilisateur après une installation et une activation simples.
- Wi-Fi sécurisé: Dans un établissement scolaire, le Wi-Fi est essentiel autant pour les enseignants que les élèves et le personnel d’administration. Il existe aujourd’hui des solutions d’accès Wi-Fi gérées via le Cloud, qui permettront d’isoler les différentes populations d’utilisateurs et offriront des performances optimisées, une meilleure visibilité sur les coûts et les usages, et fourniront des rapports d’usage complets, utiles notamment pour le respect des obligations légales de l’établissement
Enfin, une dernière stratégie pour protéger les systèmes éducatifs consiste à disposer d’un plan de sauvegarde et de reprise après sinistre bien établi.
Cela signifie qu’il faut identifier les fichiers les plus sensibles à sauvegarder, ainsi que les fichiers de sauvegarde eux-mêmes, qui doivent être protégés hors ligne.
Chaque établissement devrait disposer de sa propre sauvegarde locale, en plus de sauvegardes externalisées. Il est utile de suivre pour cela la fameuse règle des 3-2-1 :
- Trois copies de tous les fichiers importants : une copie principale et deux copies de sauvegarde.
- Les fichiers de sauvegarde doivent exister sur deux supports de stockage différents.
- Dont une copie doit être hors site.
Dernier point : pour qu’un plan de reprise après sinistre soit vraiment efficace, il faut le mettre en pratique ! Il est en effet risqué d’attendre qu’une attaque par rançongiciel se produise pour savoir si le plan fonctionne réellement… Il est donc préférable d’organiser régulièrement des exercices de simulation de crise et des tests de restauration des sauvegardes (une fois par an, par exemple), qui permettront de valider les procédures et de s’assurer qu’elles demeurent connues de tous.
Alors que les établissements scolaires continuent à s’adapter à l’apprentissage hybride, à expérimenter les cours en ligne et à tenter d’autres expériences d’apprentissage plus flexibles pour les étudiants, les acteurs malveillants continueront probablement à tirer parti des faiblesses ouvertes par ces évolutions éducatives. Il est donc primordial que les établissements d’enseignement, quel que soit leur niveau, identifient et mettent en œuvre des stratégies pour sécuriser l’apprentissage hybride, la détection et la prévention des menaces, et qu’ils participent à la création d’une formation de sensibilisation pour tous leurs usagers.
Et il est tout aussi crucial pour les personnes extérieures au secteur de l’éducation de soutenir les initiatives qui donnent aux écoles les outils et les ressources nécessaires pour créer un environnement d’apprentissage sécurisé afin que les communautés puissent apprendre partout et à tout moment.