Lorsque nous avons commencé à rassembler des données pour le rapport L’État de la Cybersécurité Scolaire, qui est publié aujourd’hui, une chose est devenue claire : de nombreuses écoles n’ont toujours pas les mesures élémentaires en place pour se protéger.
Les résultats sont préoccupants. Moins de la moitié des établissements affirment disposer d’une politique de mot de passe, moins d’un sur six a désigné un responsable de la cybersécurité, et moins de 40 % possèdent un plan de réponse en cas d’incident cybernétique.
Bien que l’authentification multi-facteurs (MFA) soit une des protections les plus simples contre le compromis des comptes, moins d’un quart des écoles l’active sur tous les services cloud pris en charge.
En tant que parent et personne travaillant quotidiennement avec des écoles, cela m’inquiète. Derrière chaque statistique se cache une classe, des enfants dont l’apprentissage et la sécurité numérique pourraient être perturbés en cas de violation des systèmes.
De plus, comme le démontre la récente violation de données d’Intradev rapportée cette semaine, ce ne sont pas seulement les élèves qui peuvent être affectés, mais aussi le personnel ainsi que les établissements eux-mêmes.
Une violation peut annuler des cours, divulguer des données sensibles et coûter des millions en frais de récupération. Nous avons vu des ransomwares verrouiller le personnel hors des fichiers en plein milieu de la période des examens GCSE, et de nombreuses écoles contraintes de fermer en raison de pannes informatiques sévères.
Cependant, de nombreux dirigeants considèrent encore la cybersécurité comme un « problème informatique ». Ce n’est pas le cas. C’est une question de leadership. Le Ministère de l’Éducation attend des régies académiques qu’elles désignent un cadre supérieur responsable de la cybersécurité et encourage toutes les écoles à faire de même.
Il est facile de comprendre pourquoi. Seuls les dirigeants ont l’autorité pour en faire une priorité scolaire, pour y allouer les ressources nécessaires, façonner la culture pour la soutenir et s’assurer que les gouverneurs posent les bonnes questions.
La bonne nouvelle, c’est que vous n’avez pas besoin de tout résoudre d’un coup. La résilience face aux cybermenaces se construit étape par étape. Voici trois actions à fort impact que chaque école peut entreprendre :
Préparez et testez votre « exercice d’incendie » cyber
Un plan de réponse aux incidents cybernétiques n’a de valeur que si vous le pratiquez. Imaginez que le réseau s’effondre un lundi matin, qui devez-vous appeler ? Comment communiquez-vous ? Quelles sont les priorités ?
Avec seulement 38 % des écoles déclarant avoir un plan de réponse dédié, la plupart n’ont pas ces réponses.
Organisez un exercice de simulation pour renforcer la confiance au sein de votre équipe de direction. Identifiez les lacunes avant que les attaquants ne le fassent.
Corrigez et analysez régulièrement vos systèmes
Laisser des logiciels non corrigés, c’est comme laisser une serrure cassée sur votre porte d’entrée. Les mises à jour critiques doivent être installées dans les 14 jours, et des scans de vulnérabilité doivent être effectués chaque trimestre.
Vous n’avez pas besoin d’être parfait, juste suffisamment proactif pour qu’un attaquant passe à une cible plus facile.
Mettez la cybersécurité à l’ordre du jour
Si la sécurité est un sujet permanent lors des réunions des gouverneurs, pourquoi pas la cybersécurité ?
Seules 15 % des écoles déclarent avoir un responsable désigné pour la cybersécurité, et seulement 10 % disent que la direction et les gouverneurs en discutent régulièrement.
Désignez un cadre senior, formez-le et intégrez la cybersécurité dans votre cycle de gouvernance. Lorsque le leadership montre que cela compte, le personnel suit.
Je ne partage pas ces résultats pour susciter l’inquiétude ; au contraire. Notre message est que chaque amélioration compte. Chaque nouvelle politique, mise à jour ou discussion avec le personnel ajoute une couche de défense supplémentaire.
Pensez-y comme à la discipline en classe : la cohérence est importante. Si le personnel connaît les règles et que la direction les renforce, la culture évolue. La cybersécurité fonctionne de la même manière.
Les menaces sont réelles, mais les progrès que les écoles peuvent réaliser le sont tout autant. La moitié des écoles suspendent rapidement les comptes lorsque le personnel part ; c’est simple mais efficace. Beaucoup d’entre elles effectuent des scans réguliers. Les bases sont là.
À présent, le défi consiste à passer d’actions ponctuelles à une résilience à l’échelle de l’école. Cela nécessite un leadership fort.
La cybersécurité n’est le travail de personne d’autre. C’est le travail de tout le monde : leaders, gouverneurs et membres du personnel. Car ce qui est réellement en jeu, ce n’est pas seulement des données ou des appareils. C’est l’apprentissage. Ce sont les enfants.
Si les écoles peuvent tirer une leçon du rapport de cette année, c’est que la résilience se construit décision par décision. Commencez dès aujourd’hui. Faites de la MFA la norme. Testez votre plan. Placez la cybersécurité à l’ordre du jour.
Les attaquants ne patientent pas, et nous ne devrions pas le faire non plus.
Pour lire le rapport L’État de la Cybersécurité Scolaire dans son intégralité, cliquez ici
Bon à savoir
- Les incidents de cybersécurité peuvent également impacter la réputation d’une école.
- Former le personnel à la cybersécurité est essentiel pour renforcer la culture de sécurité.
- Une communication régulière sur les politiques de cybersécurité aide à maintenir l’engagement de tous.
En somme, la cybersécurité en milieu scolaire mérite d’être abordée de manière proactive et collective. La sensibilisation et l’engagement à tous les niveaux peuvent transformer un défi en opportunité d’amélioration continue. Quelles démarches envisagez-vous de mettre en place dans votre établissement ?