Lutter efficacement contre les cyber-vulnérabilités dans l'enseignement

En mars 2019, six collèges des Yvelines ont mis en place en partenariat avec la gendarmerie un projet expérimental de lutte contre la cybercriminalité en milieu scolaire. L’objectif : protéger et sensibiliser enfants et enseignants contre le vol ou la perte de données personnelles, le cyberharcèlement et le complotisme. Cette initiative pourrait être étendue à d’autres départements dès octobre 2019.

Pour Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe, chez Netwrix, cette initiative très prometteuse reflète parfaitement ce qui devrait être fait pour tous ; les enfants sont les employés et les citoyens de demain, et leur inculquer des bases de cyber-protection dès leur plus jeune âge permet d’assurer un meilleur niveau de sécurité des données pour l’avenir.

Les organismes éducatifs, quel que soit le niveau d’enseignement, n’appréhendent pas toujours les risques de sécurité, et ne les gèrent par conséquent pas efficacement. Ces établissements possèdent pourtant des données sensibles qui doivent être protégées, et cela devient plus urgent à mesure que la digitalisation intègre la vie scolaire et étudiante. Ils doivent notamment se protéger contre trois cyber-risques :

Vol de propriété intellectuelle. Dans le secteur de l’éducation, la propriété intellectuelle peut couvrir des plans d’enseignement, des résultats de recherches, des publications académiques, des thèses, des présentations, des logiciels et des bases de données. Dans certaines circonstances, le vol délibéré de propriété intellectuelle peut poser des risques informatiques graves pour les établissements. Par exemple, si une université participe à des études médicales, environnementales ou techniques, le vol de ce type d’actifs peut nuire significativement à la réputation de l’établissement, conduire à la résiliation de contrats, à la perte d’un avantage concurrentiel, voire même à des frais inopinés.

Pertes et violations de données. Les établissements scolaires voient alors leur réputation ternie, et d’importants investissements financiers sont parfois nécessaires pour restaurer leurs données. De plus, si les informations personnelles ou financières des étudiants et des employés disparaissent, elles pourraient tomber entre de mauvaises mains et être utilisées à des fins d’attaques de phishing, de chantage ou de fraude. Ces attaques constituent un risque IT critique pour les établissements ; elles peuvent porter encore davantage atteinte à leur réputation, générer d’importantes amendes pour non-conformité, ainsi que des dépenses supplémentaires liées aux enquêtes et à la résolution des problèmes de sécurité. Malheureusement, les employés de ce secteur ne sont pas bien préparés aux pertes et violations de données en raison d’un manque de sensibilisation aux questions de sécurité, et du manque de ressources pour garantir la sécurisation adéquate des données.

Sanctions pour non-respect. Depuis l’entrée en vigueur du Règlement Général pour la Protection des Données (RGPD), le 25 mai 2018, la France a continué de réfléchir à l’application de ces réglementations dans les différents secteurs, dont celui de l’éducation. Ainsi, le 5 décembre 2018, le ministère de l’Éducation Nationale et de la Jeunesse et la Commission Nationale de l’Informatique et des Libertés (CNIL) ont signé une convention triennale sur la protection des données personnelles dans les usages numériques de l’Education. Cependant, en pratique, une refonte en profondeur des pratiques et procédures serait nécessaire pour que les établissements soient conformes à de tels règlements : d’une part, ils ne considèrent pas toujours les dossiers personnels et financiers qu’ils conservent comme des données sensibles et ne les protègent donc pas de manière appropriée ; d’autre part, les établissements scolaires souffrent souvent d’un manque d’investissement dans le domaine de la sécurité et ne disposent pas toujours de responsable désigné pour gérer la conformité.

Le manque d’investissement, la faible sensibilisation du personnel, et une digitalisation partielle, font qu’il est difficile pour l’enseignement de garantir la sécurité de leurs systèmes et données. Comme toute autre organisation, un accompagnement personnalisé les aidera à connaître les bonnes pratiques de sécurité, à savoir ce qui est à risque au sein de leur structure, et leur permettra de protéger leurs actifs contre les menaces internes ou externes, accidentelles ou malveillantes.


A découvrir

Pierre-Louis Lussan

Pierre-Louis Lussan est Directeur France de Netwrix. Il a plus de 20 ans d’expérience dans le secteur du logiciel sur la zone EMEA, aussi bien sur les modèles directs et indirects. Ses domaines d’expertise couvrent la direction générale et commerciale, le business développement, les ventes complexes impliquant les plus hauts niveaux de direction des entreprises, et la gestion des équipes. Avant de rejoindre Netwrix, Pierre-Louis Lussan a travaillé pour Openwave Messaging Inc, Critical Path, Pointsec Mobile Technologies et Tiscali International Network.