Les derniers mois de 2024 ont été marqués par une multitude de problèmes de cybersécurité dans plusieurs districts scolaires publics du pays. Les administrateurs ont dû gérer les conséquences de cyberattaques ainsi que l’exposition des données de leurs élèves et du personnel.
À Providence, dans le Rhode Island, des données personnelles d’élèves ont été compromises lors d’un piratage, incluant leurs dossiers de vaccination et informations de permis de conduire. Dans le même temps, une attaque à Wayne County, dans le Michigan, a paralysé les services internet et téléphoniques d’un système scolaire, forçant les responsables à agir rapidement pour rétablir la situation.
Les pertes financières sont considérables. Un rapport de Comparitech, publié l’année précédente, a révélé que les établissements scolaires et universitaires perdent en moyenne 500 000 dollars par jour à cause des attaques par ransomware. Les gouvernements commencent à réagir lentement, avec certaines États qui imposent désormais le signalement d’incidents aux autorités, tandis que la Commission fédérale des communications a lancé un programme pilote de 200 millions de dollars pour fournir des subventions aux écoles et bibliothèques afin d’améliorer leur cybersécurité.
De plus, de nouvelles recherches soulignent la nécessité urgente pour les écoles de renforcer leur posture en matière de cybersécurité et les lacunes en matière de sensibilisation. Une enquête menée fin de l’année dernière par la société de logiciels de cybersécurité Keeper Security révèle qu’alors que 74 % des parents expriment leur confiance envers les mesures de cybersécurité de leurs enfants, seulement 21 % ont reçu des conseils sur la gestion sécurisée des mots de passe et l’hygiène numérique.
En outre, Keeper a constaté que seulement 14 % des établissements scolaires imposent une formation sur la sensibilisation à la sécurité. Les emails de phishing restent une menace constante, surtout avec des milliers de personnels, d’élèves et d’enseignants connectés à divers appareils. Le Department of Education de la ville de New York adopte une approche où la sécurité physique et numérique est considérée comme indissociable, notamment en raison de la proliferation des cyberattaques par phishing.
Ce décalage entre la confiance des parents et la réalité de la cybersécurité dans les écoles reflète des tendances plus larges observées dans les secteurs public et privé, où les gouvernements et entreprises tardent à investir dans des protections jusqu’à ce qu’un incident les affecte directement.
« La cybersécurité est un sujet que beaucoup de gens ne prennent pas en compte tant qu’ils n’en sont pas victimes », a déclaré James Scobey, directeur de la sécurité de l’information chez Keeper. « Ce n’est pas unique aux parents, cela s’applique à tous, des administrateurs IT aux dirigeants d’entreprise en passant par les élus. Cela ne devient un problème que lorsqu’on y est confronté, et c’est ce que nous observons actuellement. »
Ce « fossé croissant » entre les perceptions des individus et la réalité sur le terrain s’est accentué depuis la pandémie de COVID-19, précise Scobey. De plus, l’indépendance des districts scolaires rend difficile le partage d’informations entre eux.
« Dans le milieu éducatif primaire, les environnements sont si isolés qu’un compromis dans une région ne suscite pas nécessairement une prise de conscience dans une autre partie du pays ou dans un autre secteur éducatif », a-t-il ajouté. « Lorsque qu’une entreprise du Fortune 500 est compromise, toutes les autres scrutent la situation pour en tirer des leçons. Ce type de communication et de dialogue n’existe pas actuellement. »
Les gouvernements des États s’efforcent depuis longtemps d’adapter leur formation en cybersécurité pour leurs employés, que ce soit par une évolution continue ou en élargissant leur programme pour rompre avec ce que Peter Kobak, directeur associé de l’Ohio Cyber Range Institute, a qualifié l’année dernière de « mentalité de conformité annuelle unique ».
Adapter la formation en cybersécurité pour les élèves peut s’avérer complexe, bien qu’ils soient souvent familiers avec la technologie. Cependant, Scobey assure que c’est réalisable.
« Il est important d’engager les enfants là où ils se trouvent, mais sans leur parler de manière condescendante, car souvent, ces enfants, même âgés de huit ou neuf ans, sont technologiquement plus savants que certains adultes », a-t-il expliqué. « Rendre cela intéressant, utiliser le jeu pour apprendre, et communiquer simplement sur la protection des mots de passe est essentiel, tout en leur fournissant les outils nécessaires, car c’est l’un des manques actuels. »
Le programme de subventions de la FCC représente un bon pas en avant, illustrant une volonté nouvelle au sein du gouvernement fédéral de maîtriser ce problème. Parallèlement, le Department of Education établit différentes normes et mène des campagnes éducatives pour les districts scolaires à travers le pays, bien que l’avenir de l’agence demeure incertain. L’Institut national des normes et de la technologie propose également diverses normes en cybersécurité, même si « il faut un diplôme de maîtrise en cybersécurité pour comprendre la plupart d’entre elles », a noté Scobey.
« Il existe une fonction de traduction, permettant de rendre accessibles les précieuses recommandations et recherches élaborées par différentes branches du gouvernement fédéral aux districts scolaires locaux, en engageant les administrateurs à un niveau utilisable, plutôt que de leur remettre un document de l’NIST qui explique comment gérer l’identité, mais qu’une personne non spécialisée ne pourrait pas appliquer », a-t-il ajouté.
Concernant l’avenir, Scobey souligne que la formation en cybersécurité sera cruciale, en mettant l’accent sur l’importance d’avoir des mots de passe robustes et une gestion sécurisée. La formation sur ces techniques fondamentales d’hygiène numérique, ainsi que sur la manière d’éviter de tomber dans le piège d’une attaque par phishing, « portera ses fruits au bout de cinq à dix ans », a-t-il commenté.
« Cela ne signifie pas qu’une violation ne se produira pas », a-t-il précisé. « Un adversaire déterminé parviendra toujours à s’introduire, mais notre rôle est de rendre cela aussi difficile que possible. Les adversaires ciblent les proies faciles, nous devons donc protéger ces cibles à travers l’éducation et l’utilisation des outils appropriés pour rendre la tâche le plus difficile possible. »
Bon à savoir
- Les cyberattaques dans les établissements scolaires peuvent avoir des conséquences graves non seulement sur les finances, mais aussi sur la sécurité des données personnelles des élèves et du personnel.
- La sensibilisation et l’éducation en cybersécurité sont essentielles, tant pour les élèves que pour les parents, afin de renforcer les défenses contre les menaces numériques.
- La collaboration entre les districts scolaires pourrait améliorer la gestion de la cybersécurité, en partageant des informations et des meilleures pratiques pour éviter les attaques.
La cybersécurité dans les écoles est cruciale. Les parents doivent être informés pour mieux protéger leurs enfants des attaques. Sensibiliser tous les acteurs est essentiel pour réduire les risques.
Il est urgent que les écoles investissent dans la cybersécurité. Sensibiliser élèves et parents peut vraiment faire la différence contre les menaces numériques croissantes.
Il est vraiment préoccupant de voir à quel point la cybersécurité dans les écoles est souvent négligée. Que faire pour sensibiliser davantage les parents et élèves ?