31 octobre 2022

Article
6 min

Pourquoi les écoles canadiennes sont-elles des cibles courantes pour les attaques de cybersécurité?

Les étudiants, les enseignants et le personnel de diverses capacités techniques constituent une cible énorme pour les cybercriminels. Il est possible de vendre les renseignements des étudiants sur le marché noir et, comme les conseils scolaires reçoivent l’attention du public, ils constituent des cibles de choix pour les attaques par rançongiciel.

Expert CDW Expert CDW
Contenu
Professeur qui enseigne à des étudiants dans une salle de classe à l’aide d’un ordinateur.

La date arrive quatre semaines après le début des cours, mais le mois de la sensibilisation à la cybersécurité offre un rappel aussi puissant pour les écoles canadiennes que pour leurs homologues d’affaires : les conseils scolaires, les employés et les étudiants qui assistent à leur cours sont des cibles de choix pour les cyberattaques et doivent être préparés.

Bien que les chiffres canadiens soient difficiles à obtenir (les données les plus récentes semblent provenir d’une étude de 2017 par l’autorité canadienne d’enregistrement des services Internet, qui a trouvé plus de 50 tentatives en moyenne par conseil scolaire sur une période d’étude de trois semaines), les établissements d’enseignement et de recherche américains ont souffert en moyenne de 1605 attaques par semaine en 2021, soit une hausse de 75 % par rapport à 2020 et les récentes attaques sur les secteurs scolaires canadiens dans diverses provinces illustrent ce qui est en jeu.

« Deux facteurs expliquent pourquoi les secteurs scolaires au Canada, ou partout dans le monde en définitive, subissent des cyberattaques », explique Alistair MacLeod, stratège en éducation chez CDW Canada. « Le premier facteur concerne tout simplement le budget. Le budget pour la protection des services de sécurité est très faible dans le secteur de l’éducation. Il est difficile pour un conseil scolaire de se protéger en mettant en place des mesures de sécurité complètes. »

« Le second facteur concerne les étudiants, les enseignants et le personnel d’âges, de capacités techniques et de formations variés. Ces derniers constituent une cible énorme pour les attaquants », poursuit-il. « Vous pouvez vendre les renseignements des étudiants sur le marché noir et, comme les conseils scolaires reçoivent l’attention du public, ils constituent des cibles de choix pour les attaques par rançongiciel ».

/

Vous pouvez vendre les renseignements des étudiants sur le marché noir et, comme les conseils scolaires reçoivent l’attention du public, ils constituent des cibles de choix pour les attaques par rançongiciel.

Alistair MacLeod

/

Après tout, selon Alistair MacLeod, quel conseil voudrait que les médias indiquent qu’il a été victime d’une attaque par rançongiciel? Aucun, ce qui les rend plus susceptibles de payer, et ce qui crée souvent de nouveaux problèmes parce qu’il s’agit d’établissements publics utilisant l’argent des contribuables, note-t-il.

Heureusement, CDW peut aider les conseils, leur personnel et les étudiants à réduire ce risque. Alistair MacLeod, avec plus de 30 ans d’expérience dans l’enseignement et dans la technologie de l’information en entreprise, est ravi de développer ce sujet après avoir expliqué les risques supplémentaires propres au secteur.

Qu’est-ce qui rend l’éducation plus vulnérable aux attaques de cybersécurité?

Un facteur qui rend les écoles particulièrement vulnérables aux attaques de cybersécurité et qui est particulièrement difficile à sécuriser, déclare Alistair MacLeod, est la protection des utilisateurs : il peut être difficile pour le personnel des TI de rendre ses services numériques pour les étudiants et les enseignants à la fois naturels et sécurisés.

« Par exemple, les enseignants et les étudiants ne veulent pas s’encombrer de l’authentification multifactorielle pour diverses raisons », dit-il. « C’est chronophage. Ces personnes n’ont pas nécessairement de téléphone cellulaire, ou ils ne veulent pas utiliser leur appareil personnel et l’école ne peut pas se permettre de leur en fournir un comme dans le monde des affaires. Il s’agit donc d’un défi constant pour équilibrer le besoin de confidentialité et de cybersécurité avec la facilité d’accès, tant à l’intérieur qu’à l’extérieur de l’infrastructure scolaire ».

Les rançongiciels constituent une menace particulièrement dangereuse pour les conseils scolaires, parce que ceux-ci stockent et utilisent beaucoup de données personnelles, notamment des renseignements de santé, les emplois du temps des étudiants, les notes, les contacts en cas d’urgence et les dossiers de présences. La perte d’accès peut être à la fois un cauchemar en matière de relations publiques et signer l’interruption de toutes les opérations. Bien que l’on puisse s’en protéger dans une certaine mesure, même avec une sauvegarde quotidienne, cela signifie qu’au moins une journée de données pourrait être perdue en cas d’attaque par rançongiciel, et la quantité de travail nécessaire pour compenser une journée de saisie de données est bien plus importante que de nombreuses personnes à l’extérieur du secteur en le réalisent, déclare-t-il.

Un autre défi, reconnaît Alistair MacLeod, est que la quantité de personnel spécifiquement employée à protéger les écoles contre les cyberattaques est particulièrement faible, souvent parce que les salaires ne correspondent tout simplement pas à ce que le personnel qualifié peut gagner dans le secteur privé. C’est pourquoi il croit que la collaboration entre les secteurs scolaires et les organisations comme CDW est si importante.

« Ils n’ont tout simplement pas les ressources nécessaires pour le faire eux-mêmes », dit-il. « Le ministère ne peut pas non plus le faire seul, parce que chaque conseil scolaire fonctionne de manière différente. Les fournisseurs ne peuvent pas le faire seuls non plus, parce qu’il est très difficile de fournir une solution qui conviendra à tous ».

Heureusement, MacLeod pense que les efforts impliquant les trois parties avancent, au moins dans certaines parties du Canada : le ministère de l’Éducation de l’Ontario, par exemple, a établi le Centre d’excellence en cybersécurité, qui collabore avec les fournisseurs, y compris CDW, sur des initiatives de protection de cybersécurité financées par le ministère et mises en place par les employés des conseils scolaires locaux.

« Je crois que la meilleure solution et la seule est d’avoir cette collaboration entre le ministère, les secteurs scolaires et les fournisseurs », affirme MacLeod. « Ensemble, nous sommes en mesure de mettre en place une solution efficace qui se développera graduellement vers des niveaux de protection supérieurs et qui pourra être mise en œuvre dans un délai raisonnable et à un coût raisonnable ».

Comment CDW peut-elle protéger votre école contre les cyberattaques?

Ivo Wiens, chef de pratique de cybersécurité, CDW Canada, affirme que si les écoles veulent se protéger contre les cybermenaces, elles doivent aborder le problème comme leurs homologues du secteur privé : par exemple, mener des évaluations indépendantes des risques et adopter le modèle de vérification systématique de l’identité, malgré les protestations des étudiants et du personnel.

« Le modèle de vérification systématique est vraiment populaire pour une bonne raison », dit-il. « Et cela ne s’applique pas seulement au personnel et aux étudiants, mais aux fournisseurs aussi : tous les fournisseurs impliqués dans la protection des étudiants et de leurs renseignements devraient être en mesure de vérifier qu’ils disposent de contrôles et réussir une évaluation indépendante des risques, car ils traitent avec l’un des groupes les plus vulnérables de la société ».

Alistair MacLeod dit qu’il existe quelques facteurs propres à CDW qui en font un partenaire idéal pour un conseil scolaire. D’abord, il s’agit de la connaissance des institutions : CDW possède une longue tradition de collaboration avec les conseils scolaires et de réponse à leurs besoins uniques, tels que des délais courts d’installation, des budgets plus faibles et un processus d’adoption complexe qui exigeait pendant longtemps que les conseils scolaires passent des appels d’offres, mais qui encourage de plus en plus les conventions d’achat collectives.

Ensuite, nous recommandons toujours des fournisseurs adaptés. Lorsque les écoles signent une convention d’achat collective avec CDW, elles ont accès à des fournisseurs de premier plan, comme Cisco et Palo Alto Networks, qui sont plus adaptés pour répondre à leurs besoins uniques.

Les conventions collectives accélèrent également le processus d’achat, qui peut selon Alistair MacLeod être un cauchemar pour le personnel des TI, comme à son ancien poste au conseil scolaire du secteur Limestone de Kingston.

« Il est bon pour les conseils de ne pas collaborer avec trop de partenaires. Le temps est limité et cela réduit le degré de complexité des projets », dit Alistair MacLeod. Un fournisseur individuel peut tenter de tout faire pour chaque secteur, mais cela ne fonctionne généralement pas. Ainsi, nos évaluations détaillées des fournisseurs et nos recommandations sont vraiment utiles ».