Le secteur de l'éducation est une cible privilégiée des attaquants : celui-ci manque bien souvent de moyens pour s'assurer une protection suffisamment efficace, mais regorge pourtant d’actifs et de données plébiscités par les acteurs malveillants. Découvrez à travers cet article comment la détection et la réponse gérées (que l’on appelle aussi MDR pour Managed Detection & Response) peuvent apporter une solution concrète pour reprendre le contrôle de la situation.
Dans le secteur de l'éducation, la cybersécurité ne consiste pas seulement à préserver la réputation et à minimiser les préjudices financiers. Elle joue un rôle essentiel dans la protection du bien-être des élèves et dans la garantie que chaque enfant et chaque jeune adulte réalise son potentiel d'apprentissage. Le défi auquel sont confrontés les écoles, les collèges et les universités tient au fait que leurs ressources font de moins en moins le poids face à des adversaires agiles et déterminés.
Il n'existe pas de solution miracle pour inverser la tendance. Toutefois, envisager de collaborer avec des prestataires externes peut constituer un point départ utile : cela vous permet de garantir que les intrusions soient rapidement détectées et contenues, et ainsi de minimiser leur impact.
INFOBOX
Quelques chiffres clés en France :5,8 millions d’élèves et parents en France exposées par une seule cyberattaque ciblant une plateforme de l'éducation nationale (source)
12 % des victimes de ransomware en France sont des établissements d’enseignement supérieur. (Source)
+ 12 millions d’élèves scolarisés en France et autant de données personnelles à sécuriser.
43 % des cyberattaques contre les établissements scolaires se font via du phishing (Source).
Comment les cybercriminels parviennent-ils à prendre l'avantage ?
Le défi pour le secteur éducatif réside en partie dans la diversité des adversaires, même si les cybercriminels motivés par l'appât du gain constituent la menace la plus importante. Ils cherchent à extorquer les écoles et les universités en perturbant leurs systèmes à l'aide de ransomwares, à voler des données à des fins d'usurpation d'identité et à cibler les administrateurs à l'aide d'attaques par compromission des e-mails professionnels (BEC). Il existe également des acteurs étatiques qui traquent les réseaux des universités en quête de recherches innovantes et de propriété intellectuelle à dérober pour le compte d'entreprises nationales. En 2024, le MI5 a informé les vice-chanceliers de plus de 20 universités britanniques de cette menace.
Il existe également des menaces moins évidentes. Les hacktivistes peuvent causer de réels dommages et perturber les équipes de sécurité informatique, tandis que les élèves curieux qui veulent tester leurs compétences se retrouvent souvent dans une situation délicate. L'autorité britannique chargée de la protection de la vie privée a révélé que plus de la moitié des cyberattaques internes dans les écoles proviennent d'élèves.
Les cybercriminels et les acteurs étatiques disposent de tous les outils et du savoir-faire nécessaires pour lancer des tentatives d'intrusion sophistiquées dans ce secteur, constitué de larges surfaces d’attaques. L'IA contribue à réduire les obstacles d’accès pour les cybercriminels moins expérimentés, leur permettant de développer et d'automatiser facilement leurs campagnes. Les kits de phishing et d'exploitation prêts à l'emploi offrent des avantages similaires.
Les offres d'infostealer-as-a-service (logiciels voleurs d’informations mis à disposition des criminels sous forme d’abonnement) ont peut-être eu un impact encore plus important au cours de l'année écoulée, entraînant un afflux massif d'identifiants compromis sur le marché clandestin de la cybercriminalité. Cela simplifie l'accès initial, permettant aux malfaiteurs de franchir la porte d'entrée numérique sans déclencher d'alarme. Ils continuent à rester cachés en utilisant des techniques de « living-off-the-land » (méthodes utilisées par des attaquants qui visent à exploiter des outils déjà présents sur un système au lieu d’installer des logiciels malveillants) et en ciblant les systèmes d'identité pour assurer leur persistance et leurs mouvements latéraux.
Le modèle économique de la cybercriminalité amplifie l'avantage dont bénéficient les malfaiteurs par rapport aux défenseurs des réseaux. Les Initial Access Brokers (IABs que l’on peut définir comme des cybercriminels spécialisés dans l’obtention d’un premier accès à des systèmes ou réseaux d’entreprises, qu’ils revendent ensuite à d’autres attaquants) et les modèles de ransomware-as-a-service (RaaS : modèle de cybercriminalité où un ransomware est fourni comme un service à d’autres criminels) permettent aux malfaiteurs les plus aguerris d'effectuer une grande partie du travail pour le compte d'adversaires plus généralistes. Certains groupes RaaS spécifiques, tels que Qilin, Fog et SafePay, se spécialisent dans les attaques contre les écoles, les collèges et les universités.
Pourquoi l'éducation se trouve-t-elle désavantagée ?
De nombreux établissements d'enseignement peinent à défendre leurs utilisateurs, leurs réseaux et leurs données avec des ressources limitées. Selon une étude en France, 75% des établissements scolaires ont connu une hausse de cyberattaques par rapport à l'année précédente.
Les écoles et les universités hébergent souvent des environnements informatiques tentaculaires qui couvrent des systèmes sur site et dans le cloud, l'apprentissage à distance et le BYOD (Bring Your Own Device) non géré. Les réseaux ont tendance à être largement non segmentés et, dans certains cas, les étudiants à distance provenant de pays à haut risque comme la Chine et la Russie ont besoin d'y accéder pendant les vacances. Les étudiants représentent également une base d'utilisateurs diversifiée et complexe, avec un risque constant d'attaques informatiques clandestines et même de type « script kiddie » ( des attaques informatiques simples réalisées avec des outils ou scripts prêts à l’emploi, sans réelle expertise technique).
Les équipes informatiques et de sécurité, déjà très sollicitées, passent leur temps à éteindre des incendies alors qu'elles devraient réfléchir de manière stratégique à la mise en place d'environnements plus sécurisés. L'absence de couverture SecOps pendant les week-ends et les longues périodes de vacances expose les établissements davantage que de nombreuses autres organisations.
Téléchargez gratuitement notre livre blanc pour vous aider à protéger votre établissement
Comment les services de MDR (détection et réponse gérées) peuvent-ils soutenir le secteur éducatif dans sa résilience cyber ?
La détection et la réponse gérées ne constituent pas une solution miracle à tous ces problèmes. Mais ces services peuvent considérablement aider à atténuer certains des défis les plus urgents. En externalisant la détection et la réponse aux menaces à un tiers expert, les écoles, les collèges et les universités bénéficient d'une couverture 24 heures sur 24, 7 jours sur 7 et 365 jours par an. Cela signifie que chaque fois qu'une intrusion ou une activité suspecte est détectée, où que ce soit dans leur environnement informatique, celle-ci peut être rapidement traitée et contenue.
Les fournisseurs de MDR disposent souvent non seulement de professionnels hautement qualifiés dans leur centre d'opérations de sécurité (SOC), mais aussi d'outils d'analyse plus avancés et d'informations sur les menaces afin d'améliorer les taux de détection.
Que faut-il rechercher en priorité en sélectionnant un prestaire de services MDR ?
Si vous recherchez un fournisseur pour votre établissement, qu’il s’agisse d’une école, d’un collège ou d’une université, voici les différents points à évaluer :
Les services MDR ne se résument pas à appuyer sur un bouton. Pour obtenir des résultats optimaux, votre fournisseur devra personnaliser les règles de détection, les exclusions et les paramètres en fonction de votre environnement informatique et des menaces spécifiques. Identifiez un fournisseur capable d'équilibrer une mise en place rapide et des performances de détection optimisées. Le MDR doit fonctionner 24 heures sur 24, 7 jours sur 7 et 365 jours par an afin de garantir que les attaques soient stoppées le plus tôt possible.
Vous avez aussi besoin d’un écosystème technologique complet. Au minimum, votre fournisseur MDR doit utiliser des solutions de détection et de réponse au niveau des endpoints ou des solutions étendues (EDR/XDR), des informations et des recherches sur les menaces, ainsi que des capacités de remédiation rapide. L'IA peut aider le MDR en analysant de grands volumes de données afin de détecter les comportements anormaux. L'automatisation est également utile pour accélérer les temps de réponse et de confinement.
La technologie est essentielle au MDR, mais « uniquement » en tant qu'outil pour les analystes SOC expérimentés. Leur compréhension contextuelle s’avère indispensable pour réduire les faux positifs et détecter les nouvelles menaces. De plus, les mises à jour doivent être recueillies à partir de la télémétrie et sélectionnées par des équipes d'experts en renseignements sur les menaces afin de révéler les méthodes d'attaque et les contre-mesures efficaces. Pour les attaques plus sophistiquées, votre fournisseur MDR doit être en mesure d’utiliser des techniques proactives de recherche des menaces.
De nombreux fournisseurs MDR se chargent également de la remédiation et de la récupération une fois qu'une menace a été découverte. Choisissez l'option qui correspond le mieux à vos besoins. Assurez-vous également que votre service MDR s'intègre parfaitement au reste de vos opérations informatiques, telles que les systèmes de gestion des tickets et les workflows internes. Votre fournisseur MDR doit respecter toutes les exigences réglementaires/spécifiques à votre secteur en matière de confidentialité, de localisation ou de conservation des données et/ou les clauses des polices d'assurance.
L'impact financier de la récupération après une faille de sécurité peut être considérable, tout comme l'atteinte à la réputation qui peut dissuader des étudiants potentiels de s'inscrire. Cependant, la perturbation de l'apprentissage constitue peut-être l'impact le plus insidieux des cyberincidents dans le secteur de l'éducationet pourtant celui-ci n'apparaît pas dans les rapports financiers annuels. Nous avons eu l’exemple lors de la crise du covid : une interruption de l’apprentissage peut avoir un impact majeur sur les inégalités sociales et les revenus prévisionnels des étudiants et ce durant toute leur vie.
En conclusion, la cybersécurité n'est pas simplement un coût informatique supplémentaire : elle est fondamentale pour le secteur éducatif et permettre un apprentissage serein et sécurisé à tous.
