L'importance de la formation à la cybersécurité dans le secteur de l'éducation

L’éducation est une cible privilégiée des cyberattaques, au même titre que des secteurs tels que la finance et la santé. À l’échelle mondiale, le secteur de l’éducation continue d’enregistrer une hausse des cyberattaques. Check Point Research (CPR) a constaté une augmentation de 75 % des cyberattaques contre les établissements d’enseignement en 2021, ce qui place ce secteur en tête en termes de nombre de cyberattaques par rapport à d’autres secteurs d’activité.

L’éducation est une cible privilégiée des cybercriminels car elle présente certains aspects qui la rendent vulnérable. Par exemple, les établissements d’enseignement n’ont pas toujours le luxe de disposer d’une équipe de sécurité dédiée. D’autres facteurs incluent une base d’utilisateurs dynamique et des politiques telles que « Bring Your Own Device » (BYOD), où les étudiants et le personnel utilisent des appareils mobiles pour se connecter au réseau et aux applications en nuage.

Alors que les cyberattaques continuent de faire des ravages dans ce secteur vulnérable, la formation à la cybersécurité pour le secteur de l’éducation devient une arme vitale contre ces attaques.

Type de cybermenaces pour les établissements d’enseignement

Le Ponemon Institute et IBM ont étudié l’impact des failles de sécurité dans le secteur de l’éducation dans un rapport récent. Les chercheurs ont constaté que 48 % des brèches dans ce secteur étaient dues à des attaques malveillantes qui ont pris jusqu’à 212 jours pour être identifiées et maîtrisées. Les attaques malveillantes se sont concentrées sur les données, y compris les résultats d’examens, et 43 % des établissements du secteur ont déclaré que les données des étudiants étaient la cible de ces attaques.

Des recherches menées par le gouvernement britannique ont révélé des chiffres stupéfiants . Le pourcentage suivant d’établissements d’enseignement a été victime d’une cyberattaque en 2020-2021 :

• • 36% des écoles primaires

• • 58% des écoles secondaires

• • 75 % des universités

Comme dans beaucoup d’autres secteurs, l’élément humain est au cœur de la réussite d’une cyberattaque. Des recherches menées par l’université de Stanford ont révélé que 88 % des atteintes à la sécurité commencent par un être humain, tel qu’un employé.

Les types de cybermenaces suivants visent les établissements d’enseignement et, parce qu’ils ont tous des êtres humains au cœur de l’attaque, la formation à la sensibilisation à la sécurité peut contribuer à les prévenir :

Hameçonnage

Les courriels d’hameçonnage, l’hameçonnage vocal (Vishing) et le spear-phishing (attaques ciblées d’hameçonnage) sont les préférés des cybercriminels parce qu’ils fonctionnent bien. Une étude de Symantec a révélé que 96 % des violations de données commencent par un courriel d’hameçonnage. Les écoles, les collèges et les universités sont tous menacés par le phishing. Selon un rapport de Netwrix datant de 2021, 60 % des établissements d’enseignement ont été victimes d’une attaque par hameçonnage.

Ransomware

Les rançongiciels ne se contentent plus de crypter des données et de demander une rançon pour les décrypter. Désormais, les données sont généralement volées et utilisées comme moyen de pression pour obtenir le paiement de la rançon et/ou vendues à d’autres cybercriminels.

Le Centre national de cybersécurité (NCSC) a émis un certain nombre d’avertissements au cours de l’année écoulée concernant l’augmentation des attaques de ransomware contre le secteur de l’éducation. Le phishing est l’une des trois méthodes les plus couramment utilisées pour infecter les réseaux éducatifs avec des ransomwares. D’autres méthodes exploitent une mauvaise authentification et des vulnérabilités dans les logiciels.

Violation de données et exposition accidentelle

Les violations de données coûtent cher aux écoles, collèges et universités : un rapport d’IBM et de Ponemon sur le coût d’une violation de données a révélé que le coût moyen du secteur était de 141 dollars (107 livres sterling) par dossier violé. Toutefois, ce chiffre s’élève à 200 dollars (153 livres sterling) dans le secteur de l’éducation.

Les fuites de données accidentelles entraînent également des coûts et des temps d’arrêt : le rapport de Netwrix a révélé que presque tous les établissements d’enseignement ont besoin de jours ou de semaines pour découvrir une fuite de données accidentelle. De plus, environ un tiers d’entre eux ont mis des semaines à se remettre d’une fuite de données accidentelle.

Ingénierie sociale

L’ingénierie sociale rassemble souvent plusieurs éléments d’une escroquerie complexe. L’hameçonnage est une méthode typique utilisée pour voler les identifiants de connexion, mais de plus en plus, les fraudeurs utilisent également d’autres méthodes, y compris les médias sociaux et les appels téléphoniques, pour obtenir des informations sur une personne et/ou un établissement d’enseignement cible.

Des environnements d’apprentissage à domicile peu sûrs

Covid-19 et l’apprentissage à distance ont mis en évidence la nécessité d’une bonne sécurité dans un environnement domestique. Mais le travail à distance signifie souvent que la sécurité n’est pas assurée, car les membres d’un même foyer partagent des appareils et des connexions Wi-Fi.

Comment la formation à la cybersécurité peut-elle contribuer à prévenir les cyberattaques dans les écoles, les collèges et les universités ?

Comme l’a montré la recherche, l’exposition des données est souvent la conséquence de facteurs humains. Il s’agit à la fois du manque de connaissances des individus en matière de sécurité et de la manipulation du comportement humain par les cybercriminels.

La formation à la sensibilisation à la sécurité comble les lacunes en matière de compréhension de la sécurité et donne aux gens les outils nécessaires pour prévenir les cyberattaques. La sensibilisation à la sécurité dans le secteur de l’éducation est d’autant plus efficace que le programme de sensibilisation à la sécurité est adapté au secteur. Le secteur de l’éducation est confronté à des défis uniques, et chaque type d’établissement, de l’école primaire à l’université, possède un environnement et une structure qui lui sont propres.

La formation à la sensibilisation à la sécurité en entreprise doit couvrir de nombreux types de fonctions au sein d’une entreprise ; des fonctions telles que la comptabilité et les ressources humaines sont ciblées par des types spécifiques de cyberattaques, par exemple, la compromission des courriels d’entreprise (BEC).

Les établissements d’enseignement ont également les mêmes rôles qu’une entreprise, mais les universités, par exemple, doivent également former les étudiants et le personnel. Concevoir un programme de formation qui couvre tous ces différents types de personnes et de rôles est possible grâce à une approche de la formation à la sécurité basée sur les rôles. Mais il doit aussi pouvoir toucher les utilisateurs distants. Les programmes de formation dispensés à l’aide de logiciels en tant que service (SaaS) conviennent parfaitement à la nature distribuée de l’enseignement moderne.

Cinq éléments clés de la formation à la cybersécurité pour l’enseignement

Les cinq principaux éléments à prendre en compte pour choisir un programme qui réponde aux besoins spécifiques d’un établissement d’enseignement sont les suivants : le programme doit être.. :

1. 1. Conçu pour fonctionner avec un large éventail d’individus, du personnel aux étudiants.

1. 1. Peut être adapté pour refléter les types de cyberattaques qui affectent le secteur de l’éducation.

1. 1. Peut être fourni par SaaS à tous, y compris aux travailleurs à distance et aux étudiants.

1. 1. Incorpore des modules de formation ludiques et interactifs qui retiennent l’attention de tous les types d’apprenants

1. 1. Peut générer des rapports et des preuves pour aider à la conformité réglementaire, y compris le GDPR du Royaume-Uni.

Les cybercriminels n’ont pas de morale et les attaques contre le secteur de l’éducation montrent jusqu’où ils sont prêts à aller. Cependant, le profil unique du secteur de l’éducation signifie que la sensibilisation à la sécurité doit être adaptée à ses besoins. Lorsque vous choisissez un programme de formation à la sensibilisation à la sécurité, assurez-vous que la solution peut répondre aux cinq éléments clés ci-dessus.