Les systèmes scolaires sont censés être des environnements sûrs où les enfants peuvent venir apprendre.  Malheureusement, les cybercriminels ont autre chose à dire à ce sujet. Actuellement, un district scolaire américain est victime d’une cyberattaque presque tous les trois jours.  Dans un rapport publié par Malwarebytes, « 2019 State of Malware », l’éducation, la fabrication et la vente au détail étaient les principales industries touchées par les chevaux de Troie.

L’éducation était en fait l’une des principaux secteurs les plus touchées par Emotet, le cheval de Troie le plus répandu et le plus insaisissable.  Selon le fournisseur de pare-feu, Fortinet, l’éducation est aussi le secteur le plus ciblé par les demandeurs de rançon. 13 % des établissements d’enseignement ont subi des attaques de ransomwares à un moment donné.

Comment se fait-il que les systèmes scolaires soient exploités si facilement et si fréquemment ?  Le fait est que les établissements scolaires de la maternelle à la terminale sont actuellement confrontés à des défis de taille.  Voici quelques-uns des principaux défis auxquels les systèmes scolaires sont confrontés.

Les établissements scolaires ne sont pas assez réactifs face à l’explosion des cybermenaces

La mission des établissements scolaires est d’éduquer les enfants. L’objectif du département informatique des établissements scolaires est de soutenir la technologie sur laquelle les enseignants comptent. Traditionnellement, cela signifie qu’il faut déployer et soutenir des dispositifs informatiques pour le personnel et les élèves et s’assurer que les projecteurs de classe fonctionnent correctement.

Ce n’est pas une seconde nature pour le personnel des établissements scolaires de commencer sa journée à rechercher les menaces à la sécurité. Ce n’est pas une mauvaise chose.  Cela s’explique en grande partie par le fait que l’accent est mis sur l’éducation des enfants. Une enquête publiée par la National School Boards Association a révélé que les responsables scolaires sont moins préparés aux cyberattaques que leurs pairs des entreprises du secteur privé.

Dans une enquête récente sur les CTO K12, plus de 70 pour cent ne considèrent pas les cyberattaques telles que les atteintes à la protection des données, les logiciels de rançon ou les attaques par déni de service comme des menaces graves.  Les bonnes nouvelles de la même étude ont toutefois montré que plus de la moitié d’entre eux considèrent maintenant les escroqueries de phishing comme un problème important et que l’accent est mis sur la sécurité du courrier électronique.

Contraintes budgétaires en matière de technologie de l’information

Selon le Consortium for School Networking (CoSN), la principale barrière pour 6 des 7 dernières années est la contrainte budgétaire. Bien que toutes les entreprises et organisations aient des budgets qu’elles doivent respecter, les budgets sont beaucoup plus restreints que ceux du secteur privé. C’est parce que les budgets sont fondés sur des estimations des recettes fiscales. Il n’y a pas de caisse noire importante sur laquelle se tourner pour acheter un système de sécurité imprévu au besoin. De plus, les recettes fiscales fluctuent en fonction des cycles économiques de la région. En période de prospérité économique, les districts peuvent profiter d’importantes rentrées fiscales et maximiser leurs achats d’appareils et de technologies éducatives. Puis, lorsqu’un ralentissement économique se produit, l’argent nécessaire pour sécuriser et entretenir correctement ces appareils n’est pas disponible. La technologie qui n’appuie pas l’enseignement est souvent mise en veilleuse jusqu’à ce que les temps s’améliorent.

Insuffisance du personnel informatique et de sécurité de l’information

Soyons réalistes, la plupart des districts scolaires n’ont pas le personnel nécessaire pour protéger suffisamment leurs grands réseaux.  Cela s’explique en grande partie par des contraintes budgétaires.  Il est déjà assez difficile pour les grands districts métropolitains d’obtenir le personnel dont ils ont besoin, alors que certains districts ruraux doivent compter sur le personnel à temps plein qui connaît le mieux la technologie.  Quand il s’agit de cybersécurité, c’est encore pire.  Selon une enquête CoSN de l’année dernière, seulement 25 % des établissements scolaires ont un membre du personnel à plein temps dédié à la sécurité des réseaux.  Dans les écoles rurales, ce chiffre tombe à seulement 8 %.

Shadow IT

Le Shadow IT est un problème pour tous les types d’organisations en raison de la consumérisation de l’informatique.  Il n’est pas rare que les administrateurs scolaires ou les enseignants fassent des achats de technologie sans le consentement ou même sans que le département de technologie du système en soit informé.  Dans ces cas, les équipements et les logiciels sont achetés avec peu ou pas d’égard pour la cybersécurité.  Certains enseignants apportent leur propre équipement technologique personnel, comme des imprimantes, des appareils informatiques et des points d’accès WiFi.  Parce que ces appareils ne sont pas prêts pour l’entreprise, ils n’ont souvent pas les normes de sécurité requises pour les réseaux qui sont activement ciblés par les cybercriminels.  Naturellement, il est impossible pour le personnel technologique interne de protéger ce qu’il ne connaît pas.

Infrastructure patrimoniale

Là encore, en raison de contraintes budgétaires, de nombreux systèmes scolaires ne disposent pas des technologies les plus récentes.  Il n’est pas rare de trouver des appareils de classe utilisant des systèmes d’exploitation obsolètes tels que Windows XP ou des logiciels qui ne sont plus supportés du tout.  Ces dispositifs ne sont pas corrigés lorsque des vulnérabilités sont découvertes.  Les serveurs et les périphériques réseau obsolètes tels que les routeurs et les pare-feu sont souvent en proie à des protocoles de sécurité obsolètes qui offrent une protection minimale sinon nulle.

Manque de sensibilisation et de formation en matière de sécurité

Pour beaucoup d’enseignants, il n’y a pas assez de temps dans la journée.  Les enseignants et le personnel doivent déjà jongler avec leur temps pour le personnel professionnel et la formation pédagogique.  Le personnel informatique est surchargé dans tout le district et soutient tout le monde et leurs appareils.  Et puis, bien sûr, il y a les étudiants.  Étant donné qu’un si grand nombre de districts mettent maintenant en œuvre des programmes d’appareils individuels, les jeunes élèves des écoles intermédiaires et élémentaires utilisent des ordinateurs.  Bien sûr, personne ne peut s’attendre à ce qu’ils pratiquent une bonne cyberhygiène à un si jeune âge.  Tout cela rend la formation des utilisateurs pour qu’ils soient conscients de la sécurité extrêmement difficile.

Partout aux États-Unis, les districts K12 se démènent pour se protéger contre les cyberattaques, qui prennent la forme de courriels hameçons, de logiciels malveillants et d’atteintes à la protection des données. En fin de compte, ce sont tous des défis, et les défis ne sont pas des limites permanentes. Être prêt à faire face à ces menaces comprend l’élaboration et la promotion de politiques sur l’utilisation responsable, le stockage sécurisé des données, la mise en œuvre d’une sécurité et de sauvegardes complètes par couches du courrier électronique et du Web. Les défis peuvent être surmontés et les districts commencent à trouver des moyens d’accomplir le travail, malgré les épreuves et les circonstances uniques que d’autres types d’organisations n’ont pas à endurer.

Vous êtes un professionnel de l’informatique dans une école et vous voulez vous assurer que les données et les appareils sensibles de l’école, des élèves et du personnel sont protégés ?  Parlez à un spécialiste ou envoyez-nous un courriel à info@titanhq.fr pour toute question.