Si vous avez envisagé d’aller à l’université, vous avez peut-être examiné les programmes d’études disponibles, la réputation d’une école et la qualité de ses professeurs. Vous avez peut-être aussi fait des recherches sur les chances de trouver un emploi dans votre domaine après l’obtention du diplôme. Tous ces éléments sont importants, mais il existe un autre facteur à ajouter à la liste : le sérieux avec lequel un établissement traite la cybersécurité.
Avec des milliers d’étudiants et de membres du personnel, les universités constituent des cibles alléchantes. Les administrateurs, les éducateurs, les étudiants et les membres du personnel doivent travailler ensemble pour renforcer les défenses de leur établissement contre les cyberattaques. Voyons pourquoi et ce que vous pouvez faire pour y contribuer.
Pourquoi les pirates informatiques ciblent-ils l’enseignement supérieur ?
Le secteur de l’enseignement supérieur est une cible fréquente des cyberattaques. Cela s’explique par plusieurs facteurs, notamment la quantité et le type d’informations sensibles stockées dans les établissements d’enseignement. Un rapport de Check Point Research a révélé un bond de 44 % des cyberattaques contre les secteurs de l’éducation et de la recherche au cours du premier semestre 2022 par rapport à toute l’année 2021. Ce changement représente 2 297 attaques supplémentaires par semaine sur la période étudiée.
Les perspectives en matière de menaces de cybersécurité dans les établissements d’enseignement pourraient ne pas être bien meilleures en 2023. KonBriefing Research a dressé une liste des attaques connues contre des universités dans le monde. À la mi-février, plus de 20 incidents de cybersécurité avaient déjà été enregistrés.
L’enseignement supérieur stocke une multitude de données
Vous savez peut-être par expérience que de nombreux campus sont comme des villes miniatures. Ils disposent de centres de santé pour étudiants, de nombreux magasins et restaurants, et de salles de sport et de concert qui attirent souvent des personnes des communautés environnantes. Toutes ces commodités collectent des données dans le cadre des opérations normales.
De plus, les départements s’occupent du financement des étudiants, de l’achat des manuels scolaires et des dons. Ils traitent les informations des cartes de crédit et d’autres détails personnels que les pirates aimeraient avoir.
Les formulaires de demande et d’inscription sont d’autres sources de données. Selon un rapport du centre de recherche du National Student Clearinghouse, 7,6 millions d’étudiants étaient inscrits dans des programmes de premier et de deuxième cycle aux États-Unis pour le semestre d’automne 2022.
Lorsque l’on pense également aux demandes reçues par les étudiants qui espéraient s’inscrire ou qui ont finalement changé d’avis à ce sujet, il est facile de voir comment les pirates pourraient obtenir des quantités massives de données en ciblant le secteur de l’enseignement supérieur.
L’enseignement supérieur a besoin d’une infrastructure en ligne
La pandémie de COVID-19 a été un moteur important de l’évolution vers l’enseignement en ligne. Les données du National Center for Education Statistics montrent que 75 % de tous les étudiants de premier cycle suivaient au moins un cours à distance à l’automne 2022. En outre, 44 % d’entre eux suivaient exclusivement des cours sur Internet.
Même si les éducateurs n’enseignent pas en ligne, ils utilisent régulièrement internet dans leur travail. Une étude de PowerGistics a révélé que 65 % des enseignants utilisent quotidiennement des outils d’apprentissage numériques.
Cependant, les besoins en infrastructure en ligne dans l’enseignement supérieur vont au-delà de l’apprentissage en classe. Les professeurs utilisent des portails Internet pour noter les étudiants, réviser leurs travaux, contrôler les présences et collaborer avec leurs collègues. Les administrateurs en ont besoin pour créer des horaires de cours, publier des bulletins d’information sur le campus et distribuer des communications individuelles ou de masse.
Quels dommages les attaques peuvent-elles causer ?
La plupart des menaces de cybersécurité qui pèsent sur l’enseignement supérieur reflètent celles qui existent ailleurs. Toutefois, les effets globaux sont souvent plus importants en raison du nombre potentiel de personnes touchées.
The Record a rapporté comment 44 000 étudiants et fournisseurs associés à l’université Xavier de Louisiane ont potentiellement vu leurs données personnelles prises lors d’une cyberattaque en novembre 2022. De tels cas suscitent des inquiétudes considérables en matière de protection de la vie privée, en particulier lorsque les données contiennent des informations spécifiques telles que les noms complets et les numéros de sécurité sociale.
Bleeping Computer a également raconté comment l’Université Technion d’Israël a subi une attaque par ransomware au cours de laquelle les pirates ont exigé 1,7 million de dollars. L’incident a contraint l’institution à reporter les examens.
Les problèmes de cybersécurité dans l’enseignement supérieur peuvent également contribuer à la fermeture d’un établissement. C’est le cas du Lincoln College, qui a fonctionné pendant 157 ans avant de fermer au printemps 2022. Il a enregistré un nombre record d’inscriptions à l’automne 2019. Toutefois, le stress combiné de la pandémie et d’une cyberattaque survenue en décembre 2021 a entraîné la disparition de l’établissement.
Comment les collèges peuvent-ils renforcer leurs défenses ?
La réduction des cyberattaques dans l’enseignement supérieur ou dans tout autre secteur d’activité nécessite une approche à multiples facettes. Voici quelques conseils spécifiques à prendre en compte, que vous travailliez dans le secteur de l’enseignement supérieur, que vous soyez étudiant ou que vous vous considériez autrement concerné par les menaces de cybersécurité auxquelles sont confrontés les collèges et les universités.
1. Restez conscient de l’évolution des tendances
Les cyberattaques remontent à bien plus loin que ce que beaucoup de gens pensent. La première attaque par ransomware a eu lieu en 1989. À l’époque, les auteurs ne demandaient que 189 dollars, et l’attaque s’est propagée par le biais de disquettes compromises.
Les rançons sont beaucoup plus élevées aujourd’hui, et les pirates ne s’appuient généralement pas sur des dispositifs physiques pour propager des virus ou d’autres menaces. Cependant, il s’agit d’un excellent exemple qui montre qu’il vaut la peine de rester attentif à l’évolution de certaines méthodes d’attaque, même si des similitudes subsistent.
2. Augmenter les ressources de cybersécurité
Si vous occupez un poste d’autorité budgétaire dans l’enseignement supérieur, envisagez fortement d’augmenter les budgets de cybersécurité le cas échéant. Cela permet d’investir dans de nouveaux logiciels, d’engager des consultants externes et d’effectuer des contrôles de sécurité.
Il est également judicieux de tirer parti des partenariats lorsque cela est possible. Par exemple, IBM a créé des centres de cybersécurité dans 20 collèges et universités historiquement noirs. Les étudiants des campus participants ont accès à des cours, des logiciels, du matériel de développement professionnel, etc.
3. Sensibiliser les gens aux menaces
Vous êtes peut-être comme beaucoup de gens et trouvez de plus en plus difficile de faire la différence entre les communications en ligne légitimes et celles qui pourraient être des escroqueries menant à des cyberattaques. C’est pourquoi il est essentiel de planifier des sessions de formation régulières pour tous les membres d’un établissement d’enseignement supérieur, des étudiants aux plus hauts responsables.
Apprenez-leur ce qu’ils doivent faire après des attaques de phishing et comment les éviter. Créez une culture de responsabilisation et de partage des responsabilités pour améliorer la cybersécurité.
4. Envisager de réduire l’utilisation des mots de passe
Les mots de passe forts sont une caractéristique de la cybersécurité, mais les gens les trouvent souvent frustrants. Les employés de l’enseignement supérieur peuvent avoir à en utiliser des dizaines au cours d’une journée de travail typique. Beaucoup essaient de se faciliter la tâche en choisissant des mots de passe faciles à retenir ou en réutilisant des identifiants.
Cependant, Microsoft est l’une des principales entreprises technologiques qui permet aux gens d’utiliser ses services en toute sécurité mais sans mot de passe. Explorez les possibilités qui s’offrent à vous, là et ailleurs, dans le cadre d’une stratégie globale de cybersécurité.
La cybersécurité dans l’enseignement supérieur mérite plus d’attention
Les cyberattaques peuvent avoir de graves conséquences pour les établissements d’enseignement supérieur et les universités, mais beaucoup d’entre nous les négligent lorsqu’ils pensent aux institutions que les pirates sont susceptibles de frapper.
Heureusement, il est possible de renforcer leurs défenses, sans pour autant grever le budget. Les étapes ci-dessus sont un bon point de départ.
