Dans le secteur de l’éducation, la cybersécurité joue un rôle crucial pour protéger le bien-être des élèves et des étudiants, et garantir à chacun la possibilité de réaliser pleinement son potentiel d’apprentissage. Le défi auquel sont confrontés les établissements scolaires et universitaires est que leurs ressources sont souvent insuffisantes face à des adversaires agiles et déterminés.

Le défi des établissements d’enseignement tient à la diversité de leurs adversaires. Les cybercriminels à motivation financière représentent la menace la plus importante. Ils cherchent à extorquer les écoles et universités par le biais de rançongiciels, à voler des données afin d’usurper l’identité d’étudiants, ou encore à compromettre des comptes administratifs via des e-mails frauduleux.

Des acteurs étatiques tentent de s’approprier des recherches de pointe et de la propriété intellectuelle au profit d’intérêts nationaux. En 2024, le MI5 en a informé les recteurs de plus de 20 universités britanniques.

Les hacktivistes peuvent également causer des perturbations significatives pour les équipes de sécurité informatique et des élèves curieux peuvent mettre leurs compétences techniques à l’épreuve : les autorités britanniques ont révélé que de nombreuses cyberattaques internes dans les établissements scolaires sont perpétrées par des élèves eux-mêmes.

Cybercriminels et acteurs étatiques disposent aujourd’hui de l’ensemble des outils et du savoir-faire nécessaires pour mener des intrusions sophistiquées. Ils bénéficient de l’effet de surprise et exploitent une surface d’attaque étendue.

L’intelligence artificielle est désormais utilisée pour l’ingénierie sociale, la reconnaissance des cibles, l’identification de vulnérabilités et le développement d’exploits. Elle abaisse la barrière d’entrée pour les cybercriminels moins expérimentés. Les kits de phishing et d’exploitation préconfigurés offrent des avantages similaires.

Les services de vol d’informations « à la demande » aggravent encore la situation, en alimentant le marché noir d’un volume massif d’identifiants compromis. Cela facilite l’accès initial aux systèmes sans déclencher d’alerte. Les criminels se dissimulent en exploitant les ressources système et en ciblant les infrastructures d’identité.

Ce type de criminalité renforce l'avantage des acteurs malveillants sur les équipes de défense des réseaux. Les courtiers d'accès initial et les solutions de ransomeware à la demande permettent à des experts de se charger d’une grande partie du travail pour des adversaires plus généralistes. Des groupes tels que Qilin, Fog et SafePay, sont spécialisés dans les attaques contre ces établissements.

De nombreux établissements peinent à protéger efficacement leurs utilisateurs, leurs réseaux et leurs données avec des ressources limitées. Selon un rapport récent, les attaques par rançongiciel ont augmenté de 23 % au premier semestre 2025 par rapport à l’année précédente.

Les environnements informatiques des établissements d’enseignement sont souvent vastes et complexes, combinant infrastructures sur site et cloud, enseignement à distance et appareils personnels non gérés. Les réseaux sont parfois insuffisamment segmentés, et des étudiants situés à l’étranger — notamment en Chine ou en Russie — doivent y accéder pendant les périodes de vacances.

Les équipes informatiques et de sécurité, déjà surchargées, passent leur temps à gérer les incidents au lieu de renforcer proactivement la position de sécurité. Le manque de surveillance continue, notamment les week-ends et jours fériés, accroît encore la vulnérabilité des institutions.

La détection et la réponse gérées (MDR) peuvent atténuer certains défis les plus urgents. En externalisant la détection et la réponse aux menaces auprès d'un expert, les établissements d’enseignement bénéficient d'une couverture 24/7/365. Dès qu'une intrusion ou une activité suspecte est détectée, quel que soit l'endroit dans leur environnement informatique, elle peut être rapidement traitée et neutralisée.

Les fournisseurs de MDR disposent non seulement de professionnels plus qualifiés au sein de leur centre d'opérations de sécurité, mais ils ont accès à des outils d'analyse et à des renseignements sur les menaces plus avancées pour améliorer les taux de détection.

Le MDR n’est pas l’activation d’un simple service. Pour des résultats optimaux, un fournisseur personnalise les règles de détection, les exclusions et les paramètres en fonction de l’environnement et des menaces. Il faut un fournisseur offrant un compromis entre rapidité de mise en œuvre et détection optimale. Le MDR doit neutraliser les attaques dans les délais les plus brefs, 24/7/365.

Une infrastructure technologique complète est indispensable. Le fournisseur doit au minimum utiliser des solutions de détection et de réponse étendues (EDR/XDR) ou des terminaux, des renseignements et des recherches sur les menaces, ainsi que des capacités de remédiation rapide. L'IA peut faciliter la MDR en analysant de gros volumes de données pour repérer les comportements anormaux.

La technologie reste toutefois un outil au service d’analystes expérimentés. Les données télémétriques sont collectées et analysées pour identifier les nouvelles méthodes d’attaque et mettre en place des contre-mesures efficaces. Pour les menaces les plus avancées, des techniques de chasse aux menaces (threat hunting) proactives sont mises en œuvre.

Beaucoup de fournisseurs de MDR prennent en charge la remédiation et la restauration une fois la menace détectée. Il faut choisir ce qui convient le mieux aux besoins de l’établissement. La MDR doit s'intégrer parfaitement aux systèmes existants : outils de gestion des incidents, flux de travail internes et processus IT. Le fournisseur doit également respecter les exigences réglementaires et sectorielles en matière de confidentialité, de conservation des données et d’assurance.

L’impact financier d’une faille de sécurité peut être considérable et les atteintes à la réputation peuvent dissuader de futurs étudiants de s’inscrire. Mais l’impact le plus insidieux reste la perturbation de l’apprentissage. Cela n’apparaît pas dans les rapports annuels, mais peut accentuer les inégalités sociales et influencer durablement les perspectives de revenus des étudiants.

La cybersécurité n’est pas un simple poste de dépense informatique. Elle est fondamentale pour la mission même des établissements d’enseignement.

Intéressant :  https://youtu.be/GMZEyBGB-3M