« Professeur, un hacker a volé mes devoirs ! » Si cette excuse avait été donnée par un élève il y a quelques années, il est fort probable que l’enseignant n’y aurait pas cru une seconde. Aujourd’hui, la situation est toute autre.

Pour bon nombre d’établissements scolaires, l’année dernière fut une année charnière en matière de cybersécurité. En effet, rien qu’en fin 2022, les campus de l’INP de Toulouse et Grenoble, ainsi que l’IUT de Paris – Rives de Seine ont été frappés par des cyberattaques de grandes ampleurs. Outre les conséquences directes sur l’enseignement, plus rien n’était accessible : des paiements de frais de scolarité jusqu’au aux démarches administratives. Si les méthodes utilisées par les hackers sont généralement la prise d’otage des données contre le paiement d’une rançon (attaque par ransomware), les établissements scolaires se retrouvent rapidement pris en étaux et peuvent difficilement sortir de ces cyber-pièges.

Les établissements scolaires regorgent de données en tout genre

Aujourd’hui, les écoles collectent et stockent des données diverses et variées. Et chacun sait qu’elles valent de l’or pour les cyber-pirates. Que ce soient des informations sur les élèves et l’équipe pédagogique, des résultats d’examens, des informations de paiement, des critères d’admission, ou encore des informations médicales, il serait extrêmement problématique de voir ces données être volées et fuiter. Le Service Veille ZATAZ en voit, malheureusement, des millions passer chaque année !

En effet, pour des acteurs malveillants, les attaques par ransomware sont des opérations « une pierre deux coups ». Ils peuvent jouir du paiement de la rançon, tout en revendant les informations sur le dark web. Plus encore, ils peuvent continuer sur leurs lancées et extorquer davantage d’argent en faisant chanter les propriétaires de ces données et leurs familles en les menaçant de les rendre public.

Pourquoi sont-ils des cibles de choix ?

Malheureusement, les établissements scolaires sont des proies faciles. En effet, ils disposent d’équipes informatiques de taille limitée, de budgets restreints, et utilisent tous les mêmes logiciels standards fournis par l’Éducation Nationale. Typiquement, si une vulnérabilité est découverte au sein de ces logiciels, les cybercriminels s’empresseront de l’exploiter au maximum.

Par ailleurs, pour la plupart des écoles, le paysage des cybermenaces s’est élargi rapidement ces dernières années du fait de « l’école à la maison », des applications parents-enseignants, des appareils mobiles et autres supports d’apprentissage connectés. De plus, les contraintes budgétaires incitent les élèves à utiliser leurs propres appareils (souvent non-sécurisés) et la multiplication des points de connexion élargit indéniablement la surface d’attaque. Mais la principale raison faisant d’eux une « proie facile » se résume à la culture des acteurs de ce secteur.

D’autres domaines (la finance, la santé ou le commerce par exemple) gérant également les données personnelles d’individus, sont soumis à de nombreuses règlementations liées à la protection de la vie privée et des données. Ils investissent dans des infrastructures technologiques, s’en servent comme avantage concurrentiel, et savent pertinemment que leur réputation est directement liée à leur capacité de protection des informations privées.

Pour le milieu éducatif, l’histoire est bien différente. Si les établissements ne souhaitent pas nécessairement adopter des mesures aussi strictes, c’est bien souvent pour des raisons pratiques. Elles ne veulent pas être soumises à des contraintes pouvant bloquer ou freiner leurs activités. Elles veulent avoir la liberté de déplacer des fichiers entre les différentes sections d’enseignement et établissements afin de fournir un environnement unifié pour la formation continue en toute liberté, quel que soit le contributeur.

Rappelons que le maillon faible de la chaîne de sécurité d’un établissement, est bien souvent l’Humain. Même si les enseignants et encadrants sont généralement formés à ces risques, cela n’est pas toujours suffisant. En effet, il est particulièrement difficile d’imposer les mêmes consignes de sécurité aux étudiants, bien qu’ils soient de plus en plus sensibilisés aux tentatives de hacking. De plus, avec l’avènement de l’IA générative, il devient plus facile pour les acteurs malveillants d’éliminer les indices permettant de détecter la supercherie (fautes d’orthographe et de syntaxe) et de générer de faux enregistrements vidéo (deepfake), des emails impeccables ou encore de proposer des offres personnalisées alléchantes.

La valeur des données étant élevée et le niveau de défense faible, les pirates informatiques ont toutes les motivations nécessaires pour monter une attaque. Et, pour ne rien arranger, les écoles sont souvent prêtes à payer la rançon.

(Par Thierry Fabre, Senior Manager Sales Engineering, BlackBerry)