4 vulnérabilités humaines fréquentes dans le secteur de l’Éducation

Dans le secteur de l’éducation, les défenses techniques ne suffisent pas à elles seules. Environ 90 % des incidents de cybersécurité sont dus à des erreurs humaines. Le personnel et les étudiants sont souvent le maillon faible, car les attaquants exploitent des traits humains comme la confiance ou la négligence, plutôt que de simples failles techniques.

Le secteur de l’éducation, allant des écoles primaires aux universités, est souvent décrit comme étant "riche en cibles mais pauvre en cybersécurité". Il représente une cible attrayante pour les cybercriminels en raison des vastes quantités de données sensibles qu’il détient, telles que les informations personnelles des enfants (PII), les dossiers de santé, les données financières et les propriétés intellectuelles liées à la recherche.

Pour protéger ces informations sensibles, il est essentiel de comprendre les vulnérabilités humaines courantes, notamment les comportements et croyances à risque.

Les mauvaises pratiques en cybersécurité dans les établissements éducatifs sont souvent causées par un manque de sensibilisation, des ressources limitées ou une simple négligence.

• Négligence et déni (Manque de sensibilisation institutionnelle) :  De nombreuses personnes considèrent la cybersécurité comme un problème global, et non comme une priorité locale. Dans le secteur de l’éducation, ce manque de sensibilisation à la cybersécurité est critique. L’uniformisation des dispositifs est difficile à mettre en place avec un personnel composé de nombreux temps partiels, travailleurs à distance et stagiaires, ce qui entraîne des protocoles d’authentification faibles. De plus, seulement 33 % du personnel de l’éducation estiment que leurs mesures de cybersécurité sont suffisantes. Les établissements aux budgets restreints dépendent souvent de logiciels et appareils obsolètes, augmentant leur vulnérabilité. Par exemple, des études montrent que 45 % des universités utilisent au moins un système fonctionnant sous PHP obsolète—un logiciel non mis à jour depuis au moins deux ans. Furthermore, only 33% of education sector staff feel their cybersecurity measures are sufficient. Budget-constrained institutions often rely on legacy software and devices, increasing their vulnerability. For example, studies found that 45% of universities used at least one asset running end-of-life PHP—software not updated for at least two years.

• Partage à risque (Culture de collaboration ouverte) : Même si beaucoup comprennent l’importance des mots de passe robustes, ils pensent qu’il est acceptable de les partager avec des personnes de confiance. Ce comportement est particulièrement courant dans l’éducation, où enseignants et chercheurs collaborent souvent, partageant parfois involontairement des données sensibles. Cela peut exposer des propriétés intellectuelles sur des serveurs publics ou des espaces de stockage partagés. Les étudiants aggravent ce problème en utilisant des appareils personnels non sécurisés et en se connectant aux réseaux institutionnels via des Wi-Fi publics ou partagés.

• Inquiétude sans action (Contraintes budgétaires et priorisation) :  Si beaucoup s’inquiètent de la sécurité de leurs informations, cette inquiétude ne se traduit pas souvent par une vigilance ou des pratiques exemplaires. Les contraintes budgétaires repoussent souvent les dépenses en cybersécurité derrière les priorités comme les salaires du personnel ou le matériel pédagogique. En conséquence, les investissements en cybersécurité sont souvent minimes, voire inexistants. Par exemple, malgré le coût élevé des violations de données, seulement 11 % des membres du personnel de l’enseignement supérieur augmentent leurs dépenses en formation à la sécurité après une cyber attaque, selon PacketLabs, une société spécialisée dans les tests d’intrusion.

• Piégés par des manipulations sociales (Tactiques d’ingénierie sociale) : Attackers frequently use social engineering. Phishing—disguising malicious emails to look trustworthy—stood out as the most commonly exploited method for gaining an initial foothold in educational institutions. In 2024, over 90% of K-12 ransomware attacks stemmed from exploited vulnerabilities, compromised credentials, or malicious emails. To achieve credential theft or malware insertion, attackers often impersonate trusted partners or create fake university communications. For example, Microsoft a signalé avoir bloqué plus de 15 000 emails quotidiens de "quishing" (phishing par QR code) ciblant le secteur éducatif, dans le but de tromper le personnel et les étudiants pour qu’ils partagent des données sensibles ou accordent un accès aux systèmes.

La sensibilisation seule ne suffit pas. Les établissements doivent adopter des stratégies pratiques qui rendent les choix sécurisés simples et intuitifs pour tous.

1. Maîtrisez vos mots de passe et contrôles d’accès

• Créez des mots de passe robustes et utilisez la MFA : Choisissez des mots de passe solides, changez-les régulièrement et ne les partagez jamais. La mise en place de l’authentification multi-facteurs (MFA) réduit considérablement les attaques en ajoutant une couche de sécurité supplémentaire.
• Ne les notez jamais : Évitez de noter vos mots de passe sur papier.
• Utilisez des outils : Les outils comme les évaluateurs de robustesse de mots de passe peuvent guider les utilisateurs dans la création de choix plus sûrs.

2. Identifiez le phishing et signalez les activités suspectes

• Signalez les emails externes : Recherchez des en-têtes avertissant que les messages proviennent de l’extérieur du réseau de l’établissement.
• Méfiez-vous des manipulations sociales : Faites attention aux messages exploitant des émotions comme l’urgence ou la confiance. Les attaques de phishing sont rapides : les utilisateurs cliquent sur des liens malveillants en une médiane de 21 secondes et saisissent leurs données en moins de 60 secondes.
• Organisez des formations régulières : Des sessions régulières de formation réduisent considérablement les erreurs humaines. Des programmes cohérents peuvent abaisser le pourcentage d’employés susceptibles de cliquer sur des liens de phishing (Phish Prone Percentage ou PPP) de plus de 30 % à seulement 4,9 %.
• Encouragez les signalements : Incitez le personnel et les étudiants à signaler immédiatement les emails suspects. La gamification (par exemple, des points ou badges) peut motiver les signalements et transformer la sécurité en effort collectif.

3. Adoptez une utilisation sécurisée d’internet et développez la résilience institutionnelle

• Évitez les Wi-Fi publics pour des tâches sensibles : Évitez d’utiliser les réseaux Wi-Fi publics (comme ceux des cafés) pour des tâches importantes, comme accéder aux systèmes institutionnels.
• Soyez responsable : Chaque utilisateur est responsable de ses actions lorsqu’il utilise la technologie et internet.
• Investissez dans les plans de réponse aux incidents : Les établissements doivent disposer d’un plan de réponse aux incidents (IRP) bien documenté et régulièrement mis à jour pour minimiser l’impact des incidents cybernétiques et éviter des perturbations majeures comme la suspension des cours ou des pannes prolongées des systèmes critiques.
• Favorisez un soutien, pas des sanctions : Lorsqu’un employé commet une erreur honnête, la priorité doit être de l’aider à comprendre et à apprendre pour éviter que cela ne se reproduise. Cette approche favorise une culture de sécurité positive, plutôt que de recourir immédiatement à la sanction.