Les établissements d’enseignement, de la maternelle au lycée ainsi que de l’enseignement supérieur, sont régulièrement piratés.
La situation ne montre aucun signe d’amélioration.
Les conséquences de tout vol de données sont énormes non seulement en termes de réputation, mais aussi en termes juridique, économique et opérationnel.
Le financement futur pourrait être affecté, mais il y a aussi le risque de perte de frais de scolarité futurs et de revenus associés.
L’année dernière, un article paru dans le Huffington Post donnait des exemples de cinq collèges dont les atteintes à la protection des données étaient encore plus importantes que celles de Sony.
Voici quelques exemples d’atteintes récentes à la protection des données dans le domaine de l’éducation :
- Les réseaux de l’Université du Maryland ont été piratés en janvier 2014, ce qui a entraîné la divulgation des données de 310 000 étudiants. La brèche a coûté plus de 6 millions de dollars à l’université pour que les victimes puissent bénéficier de services de surveillance du crédit.
- Le district scolaire Park Hill de Kansas City, au Missouri, a signalé une infraction en juillet 2014. Un ancien employé a eu accès à des données confidentielles sur des élèves et des employés. Ces données ont été ensuite publiées par inadvertance sur Internet. Plus de 10 000 personnes ont été victimes de cette attaque. Des dossiers ont été endommagés, y compris des numéros de sécurité sociale et des évaluations des employés.
- En juin 2014, plus de 30 000 étudiants du Riverside Community College District, en Californie, ont vu leurs données exposées (numéros de sécurité sociale, dossiers scolaires, etc.) lorsqu’un employé a envoyé des dossiers par email à une adresse électronique incorrecte via un système non sécurisé.
Universities UK est une organisation regroupant les directeurs généraux des universités britanniques qui œuvre pour le soutien et la promotion du secteur de l’enseignement supérieur britannique.
Elle a commandé un rapport qui examine les moyens de mettre en œuvre la cybersécurité dans les établissements d’enseignement supérieur au niveau de la direction.
Leurs suggestions sur la manière d’assurer une cybersécurité adéquate semblent très similaires aux approches que toute grande entreprise devrait adopter :
- Évaluer le risque institutionnel en identifiant les actifs informationnels, en évaluant leurs vulnérabilités et en établissant leurs priorités de gestion.
- Mettre en place un système de surveillance et de communication efficace des risques liés à l’information entre le conseil d’administration de l’institution, les propriétaires, les contrôleurs et les actifs informationnels.
- Mettre en œuvre des contrôles réseau généraux, ciblés et appropriés, notamment le partage et la mise à jour des vulnérabilités et des pratiques menées en interne et en externe.
La nature et la fiabilité des données associées à un large éventail d’activités nécessitent un ensemble de modèles de cybersécurité ciblés, adaptés et proportionnés à leurs actifs.
Les universités sont les cibles parfaites pour un vol de données
Les données sont essentielles au bon fonctionnement d’un établissement d’enseignement, ainsi qu’à la recherche et à la production d’autres données.
Il peut s’agir du principal actif intellectuel — parfois sensible du point de vue politique ou commercial — et essentiel pour que l’université puisse répondre à ses besoins commerciaux ou académiques.
Il suffit prendre l’exemple de la nature des données sur les changements climatiques ou des dossiers médicaux.
Il peut également s’agir de données d’entreprise, sur les étudiants, les finances et les ressources humaines.
Celles-ci sont soumises aux lois habituelles sur la protection des données.
Les conséquences de tout vol de données sont énormes non seulement en termes de réputation, mais aussi en termes juridique, économique et opérationnel.
Le financement futur pourrait être affecté, mais il y a aussi le risque de perte de frais de scolarité futurs et de revenus associés.
Des poursuites et d’autres sanctions pourraient être intentées à l’encontre de l’établissement, mais la perte de propriété intellectuelle pourrait aussi survenir.
Il peut même y avoir des dommages aux infrastructures qui paralysent les activités de l’institution.
Les réseaux universitaires alimentaient les attaques contre les systèmes externes
Les données personnelles et financières stockées dans les systèmes de données universitaires sont d’une grande valeur pour les cybercriminels.
Les données commerciales, quant à elles, peuvent intéresser les espions d’entreprises, tandis que les données liées à la recherche scientifique ou aux subventions peuvent être ciblées par des groupes soutenus par un État-nation.
Même l’infrastructure universitaire, avec sa large bande passante et ses serveurs puissants, constitue une cible pour les pirates informatiques. Il peut être détourné et utilisé pour mener des attaques sur d’autres systèmes externes.
Lorsque les systèmes informatiques du New York Times ont été piratés en 2013, l’enquête qui a suivi a révélé que les attaques avaient été dirigées contre des ordinateurs compromis dans des universités américaines.
Les menaces habituels des vols de données
Les menaces auxquelles font face les établissements d’enseignement sont toujours les mêmes.
- Manipulation psychologique qui cible l’utilisateur,
- Spams/emails de phishing,
- Macros malveillantes/ransomwares,
- Protocoles de sécurité obsolètes et/ou faibles,
- Vulnérabilités des navigateurs,
- Logiciels non corrigés et vulnérabilités logicielles,
- Kits d’exploitation « zero-day »,
- Mauvaise configuration du pare-feu et du réseau,
- Manque de contrôle des applications,
- Accès USB non sécurisé,
- Botnets et attaques par déni de service distribué (DDOS),
- Accès à distance permanent,
- Banque de contrôle des appareils mobiles
Problèmes d’infrastructure et silos de données : Un cauchemar pour la sécurité des réseaux
Ce qui différencie réellement les établissements d’enseignement supérieur et le réseau d’entreprise est la nature du campus et du réseau de l’Université.
Composée de nombreux réseaux, parfois dispersés, l’infrastructure réseau des universités constitue un cauchemar pour les professionnels de la sécurité informatique d’entreprise.
Ce n’est pas dû à un manque de prévoyance ou d’ignorance en matière de sécurité informatique sur le campus (c’est loin d’être le cas !).
En effet, L’environnement éducatif et l’ouverture du campus au grand public signifient qu’il n’y a aucune infrastructure centrée sur la sécurité étroite tel qu’on voit dans les réseaux d’entreprise.
Dans les établissements d’enseignement, il est courant de voir
- Des flux réguliers d’étudiants de premier cycle
- Des chercheurs et des diplômés qui collaborent et partagent des données à l’échelle mondiale
- Des universitaires en visite
- Des pratiques qui permettent aux utilisateurs d’apporter leurs propres appareils pour se connecter au réseau
- Etc.
Pourtant, dans de tels environnements, le concept de sécurité des données rigoureuse a toujours été considéré comme inutile, voire indésirable.
Lorsqu’une institution prospère grâce au libre échange de données et d’idées, elle ne peut pas facilement appliquer les mêmes mesures de sécurité que les grandes entreprises.
La sécurité informatique est un compromis
Il y a un juste équilibre entre ce qui doit être autorisé et les mesures de sécurité qui peuvent être mises en place.
La sécurité dans toutes les organisations, commerciales ou académiques, est un compromis entre la probabilité et l’impact potentiel d’une attaque et le coût financier qui pourraient être encourus en défense en cas d’atteinte à la protection des données.
L’augmentation des menaces en ligne et les nouvelles sanctions sévères pour les atteintes à la protection des données obligent les universités à prendre la cybersécurité plus au sérieux.
Une approche efficace consistait à segmenter et à partitionner autant que possible les réseaux des campus afin que les données les plus sensibles et les plus précieuses puissent être protégées de manière adéquate.
Il fallait également permettre la création de parties du réseau relativement ouvertes pour répondre aux besoins en matière de formation et de recherche.
Cela peut être complexe et nécessiter une analyse détaillée des risques, outre l’établissement de priorités de gestion et des mesures de sécurité connexes.
En réalité, c’est une approche qui commence à être adoptée par les réseaux d’entreprise.
Le fait de considérer que le « monde extérieur » est dangereux et que le réseau local est toujours sécurisé est désormais quelque chose de démodé.
La DMZ qui servait auparavant de sandbox aux systèmes partagés entre le WAN et le LAN est maintenant considérée comme la zone protégée pour sécuriser les serveurs du monde extérieur et du monde intérieur.
La pratique consistait à utiliser des systèmes de sécurité capables de surveiller le réseau et détecter les anomalies comportementales, plutôt que de compter sur une protection par périmètre.
Et c’est là que les universités peuvent être en avance sur le monde de l’entreprise.
L’équipe de TitanHQ travaille depuis plus de 20 ans sur les solutions antispam ; le filtrage Web et l’archivage des emails pour les écoles.
Nous avons une compréhension profonde des problèmes de sécurité web et nous sommes conscients que toutes les écoles et tous les collèges devraient faire quelque chose pour protéger les étudiants, le personnel scolaire et les visiteurs.
Les cybercriminels veulent vos données, alors ne les leur donnez pas !
Commencez dès aujourd’hui à protéger votre organisme éducatif contre les infractions coûteuses et les amendes.
La sécurité web est essentielle à la protection de vos données.
Essayez la version gratuite de WebTitan dès aujourd’hui !