L’éducation est devenue un secteur clé ciblé par les cybercriminels. Selon le département de l’Éducation américain, les districts scolaires à travers le pays subissent en moyenne cinq incidents de cybersécurité par semaine. Pourtant, d’après le Consortium pour le Réseau Scolaire (CoSN), seulement un district scolaire américain sur trois dispose d’un personnel de cybersécurité à plein temps, laissant la majorité des districts dépendants d’une aide extérieure ou de services partagés. La loi CISA 2015, à ne pas confondre avec l’agence fédérale du même acronyme, a contribué à combler certains de ces besoins.
« Ils vont essentiellement perdre l’avantage d’obtenir des notifications de menaces et de systèmes coordonnés », a déclaré Amy McLaughlin, directrice de projet pour les initiatives de cybersécurité et de conception de systèmes au CoSN. « Ils seront dans une situation comparable à celle d’avant 2015, mais avec un environnement de menaces beaucoup plus étendu, car nous sommes beaucoup plus dépendants de la technologie qu’il y a 10 ans, et les acteurs malveillants sont devenus de plus en plus astucieux. »
La loi CISA 2015 a été adoptée après des violations majeures, comme celle du Bureau de gestion des ressources humaines, et face à des appels croissants en faveur d’une meilleure collaboration en matière de défense cybernétique. Elle a créé un système volontaire pour le partage d’« indicateurs » cybernétiques — y compris des sites web malveillants, de nouvelles techniques ou des activités de menace parmi des acteurs malveillants connus — entre les agences fédérales, les gouvernements d’État et locaux, et les entreprises. Elle a également explicitement autorisé les entreprises privées à surveiller leurs propres réseaux et ceux des clients avec lesquels elles ont des contrats, et à partager des informations sur les menaces sans risque de violation des règles de confidentialité et de concurrence.
En pratique, la CISA 2015 a permis le développement du système de partage d’indicateurs automatisés du Département de la sécurité intérieure (DHS), qui permet l’échange en temps réel d’alertes de menace. Elle a également renforcé le rôle des Centres d’analyse et de partage d’informations (ISAC) sectoriels qui transmettent les bulletins de menace à leurs membres dans des secteurs spécifiques. Par exemple, le Multi-State ISAC partage des informations entre les gouvernements d’État, tandis que l’ISAC de la recherche et de l’éducation le fait pour les institutions éducatives et de recherche.
Au cours de la dernière décennie, cette loi est devenue un élément essentiel des défenses cybernétiques américaines. Selon le représentant Andrew Garbarino, R-N.Y., qui préside un sous-comité sur la cybersécurité, un volume significatif d’intelligence sur les menaces cybernétiques a été échangé entre l’industrie et le gouvernement grâce à cette législation. Un exemple pertinent évoqué par Garbarino est celui d’une organisation majeure qui a partagé 84 rapports de menaces en une année, touchant des milliers de partenaires.
Le secteur éducatif a bénéficié de ce modèle collaboratif, recevant des avis de menaces par l’intermédiaire de divers ISAC, a déclaré McLaughlin. Carla Wade, responsable du parrainage d’entreprise et des programmes d’apprentissage professionnel au CoSN, a ajouté que les écoles publiques détiennent une grande quantité de données sensibles sur les élèves et le personnel et dépendent souvent de ces systèmes d’alerte en l’absence de personnel de cybersécurité dédié.
Les responsables fédéraux et les experts en technologie scolaire mettent en garde contre le risque que l’expiration de la loi le 30 septembre affaiblisse les défenses. « Laisser cette loi expirer indique en fait qu’il n’y a plus de problème, ce qui ne correspond pas du tout à la réalité », a précisé McLaughlin. En réalité, les attaques contre les établissements d’enseignement continuent d’augmenter. Selon la société de recherche tech Comparitech, les attaques par ransomware contre le secteur de l’éducation ont bondi de 23 % au premier semestre 2025 par rapport à la même période en 2024.
Sans les protections juridiques offertes par la CISA 2015, les membres du secteur privé pourraient être moins enclins à partager des informations sur la cybersécurité avec d’autres entreprises ou agences publiques. De plus, l’expiration de la loi pourrait diminuer les ressources pour les ISAC, rendant plus difficile le partage d’informations, même si les organisations le souhaitent. Une récente coupe budgétaire de 10 millions de dollars au sein du Multi-State ISAC en est un exemple significatif. « Il est essentiel d’avoir cet effort coordonné où les personnes savent d’où provient l’information, qu’elle a été vérifiée et qu’elle émane d’une source fiable, car il n’y a pas de bonne manière de partager des informations de manière aléatoire entre plusieurs organisations sans une entité coordonnante », a ajouté McLaughlin.
Les législateurs à la Chambre des représentants et au Sénat, ainsi que des groupes industriels dans les secteurs bancaire, énergétique et de la cybersécurité, et la Chambre de commerce des États-Unis, ont tous appelé à une extension de la loi, ce qui est permis sous la loi avec l’approbation du Congrès. Une mesure sénatoriale introduite en avril par le sénateur Mike Rounds, R-S.D., et le sénateur Gary Peters, D-Mich., viserait simplement à renouveler la loi jusqu’en 2035 sans modifications substantielles. À la Chambre, une initiative parallèle est en cours, avec des comités qui examinent la réautorisation. Les législateurs ont également discuté de l’attachement de certains ajustements pour tenir compte des menaces et technologies en évolution, y compris l’intelligence artificielle.
« Bien que je reconnaisse qu’il y a une place pour améliorer et moderniser la loi sur le partage d’informations en matière de cybersécurité, nous ne pouvons pas permettre aux efforts de reconsidérer le projet de loi d’interférer avec sa réautorisation rapide », a déclaré le représentant Bennie Thompson, D-Miss., membre en position de responsabilité au sein du Comité de la sécurité intérieure. « Si l’histoire sert de guide, les changements apportés à la CISA 2015, aussi mineurs soient-ils, impliqueront de multiples parties prenantes et plusieurs rounds de négociations minutieuses. »
Bon à savoir
- Le CISA 2015 a été adopté en réponse à l’augmentation des violations de données dans divers secteurs.
- Il existe des ISAC par secteur, ce qui contribue à une meilleure communication entre les organisations face aux menaces.
- La cybersécurité dans le milieu éducatif est un enjeu majeur, étant donné la sensibilité des données des élèves.
La question de la cybersécurité est plus que jamais d’actualité, particulièrement dans un contexte où les établissements scolaires sont en première ligne. Alors que la législation CISA 2015 s’apprête à expirer, il est crucial de réfléchir à la manière dont les systèmes de sécurité peuvent évoluer pour mieux répondre aux nouvelles réalités technologiques. Comment peut-on garantir une collaboration efficace entre le secteur public et privé dans ce domaine stratégique ?