Dans le secteur de l’éducation, les défenses techniques ne suffisent pas à elles seules. Environ 90 % des incidents de cybersécurité sont dus à des erreurs humaines. Le personnel et les étudiants sont souvent le maillon faible, car les attaquants exploitent des traits humains comme la confiance ou la négligence, plutôt que de simples failles techniques.
Le secteur de l’éducation, allant des écoles primaires aux universités, est souvent décrit comme étant "riche en cibles mais pauvre en cybersécurité". Il représente une cible attrayante pour les cybercriminels en raison des vastes quantités de données sensibles qu’il détient, telles que les informations personnelles des enfants (PII), les dossiers de santé, les données financières et les propriétés intellectuelles liées à la recherche.
Pour protéger ces informations sensibles, il est essentiel de comprendre les vulnérabilités humaines courantes, notamment les comportements et croyances à risque.
Les failles humaines que les institutions éducatives doivent adresser
Les mauvaises pratiques en cybersécurité dans les établissements éducatifs sont souvent causées par un manque de sensibilisation, des ressources limitées ou une simple négligence.
1. Négligence et déni (Manque de sensibilisation institutionnelle)
Beaucoup voient la cybersécurité comme une priorité globale et, dans le domaine de l'éducation, cette vulnérabilité reflète un sérieux manque de sensibilisation à la sécurité de l'information.
La standardisation des appareils est difficile à appliquer avec de nombreux employés à temps partiel, à distance et stagiaires, ce qui entraîne des protocoles d'authentification faibles.
Seulement 33 % du personnel du secteur éducatif estiment que leurs mesures de cybersécurité sont suffisantes. Les institutions aux budgets limités s'appuient souvent sur des logiciels et appareils obsolètes, augmentant ainsi les risques.
Des études ont révélé que 45 % des universités utilisaient au moins un actif fonctionnant avec une version de PHP en fin de vie — un logiciel non mis à jour depuis au moins deux ans.
2. Habitudes de partage risquées (Culture de collaboration ouverte)
De nombreux utilisateurs comprennent l'importance des mots de passe robustes, mais pensent parfois qu'il est acceptable de les partager avec des personnes de confiance.
Cette imprudence répandue devient encore plus problématique dans le secteur éducatif. Les collaborations entre enseignants et chercheurs mènent parfois à un partage accidentel de données sensibles, exposant des propriétés intellectuelles sur des serveurs ou espaces de stockage publics.
En utilisant des appareils personnels sans formation en cybersécurité et en se connectant aux réseaux institutionnels via des Wi-Fi publics ou partagés, les étudiants contribuent à augmenter ce risque.
3. Préoccupations sans action réelle (Contraintes financières et priorisation)
Bien que la sécurité de l'information préoccupe de nombreux utilisateurs, cette inquiétude ne se traduit pas toujours par des actions concrètes ou des pratiques exemplaires.
Les budgets limités poussent souvent les dépenses en cybersécurité au second plan, derrière des priorités comme les salaires du personnel et les ressources éducatives.
En conséquence, les investissements dans ce domaine sont souvent insuffisants, voire inexistants.
D'après une étude récente, et malgré les coûts élevés des violations de données, seulement 11 % des membres du personnel de l'enseignement supérieur interrogés ont augmenté leurs dépenses en formation à la sécurité après une cyberattaque, selon PacketLabs, une entreprise spécialisée dans les tests d'intrusion.
4. Céder aux manipulations sociales (Tactiques d'ingénierie sociale) :
Les attaquants utilisent fréquemment l'ingénierie sociale. Le phishing (des e-mails malveillants déguisés pour paraître fiables) s'est imposé comme la méthode la plus couramment exploitée pour infiltrer les institutions éducatives.
En 2024, plus de 90 % des attaques par ransomware dans les écoles K-12 provenaient de vulnérabilités exploitées, de données d'identification compromises ou d'e-mails malveillants.
Pour voler des identifiants ou insérer des logiciels malveillants, les attaquants se font souvent passer pour des partenaires de confiance ou créent de fausses communications universitaires.
À titre d'exemple, Microsoft a signalé avoir bloqué plus de 15 000 emails quotidiens de "quishing" (phishing par QR code) ciblant le secteur éducatif, dans le but de tromper le personnel et les étudiants pour qu’ils partagent des données sensibles ou accordent un accès aux systèmes.
Conseils simples et pratiques pour renforcer la pour garder votre école en sécurité
La sensibilisation seule ne suffit pas. Les établissements doivent adopter des stratégies pratiques qui rendent les choix sécurisés simples et intuitifs pour tous.
1. Maîtrisez vos mots de passe et contrôles d’accès
- Créez des mots de passe robustes et utilisez la MFA : Choisissez des mots de passe solides, changez-les régulièrement et ne les partagez jamais. La mise en place de l’authentification multi-facteurs (MFA) réduit considérablement les attaques en ajoutant une couche de sécurité supplémentaire.
- Ne les notez jamais : Évitez de noter vos mots de passe sur papier.
- Utilisez des outils : Les outils comme les évaluateurs de robustesse de mots de passe peuvent guider les utilisateurs dans la création de choix plus sûrs.
2. Identifiez le phishing et signalez les activités suspectes
- Signalez les emails externes : Recherchez des en-têtes avertissant que les messages proviennent de l’extérieur du réseau de l’établissement.
- Méfiez-vous des manipulations sociales : Faites attention aux messages exploitant des émotions comme l’urgence ou la confiance. Les attaques de phishing sont rapides : les utilisateurs cliquent sur des liens malveillants en une médiane de 21 secondes et saisissent leurs données en moins de 60 secondes.
- Organisez des formations régulières : Des sessions régulières de formation réduisent considérablement les erreurs humaines. Des programmes cohérents peuvent abaisser le pourcentage d’employés susceptibles de cliquer sur des liens de phishing (Phish Prone Percentage ou PPP) de plus de 30 % à seulement 4,9 %.
- Encouragez les signalements : Incitez le personnel et les étudiants à signaler immédiatement les emails suspects. La gamification (par exemple, des points ou badges) peut motiver les signalements et transformer la sécurité en effort collectif.
3. Adoptez une utilisation sécurisée d’internet et développez la résilience institutionnelle
- Évitez les Wi-Fi publics pour des tâches sensibles : Évitez d’utiliser les réseaux Wi-Fi publics (comme ceux des cafés) pour des tâches importantes, comme accéder aux systèmes institutionnels.
- Soyez responsable : Chaque utilisateur est responsable de ses actions lorsqu’il utilise la technologie et internet.
- Investissez dans les plans de réponse aux incidents : Les établissements doivent disposer d’un plan de réponse aux incidents (IRP) bien documenté et régulièrement mis à jour pour minimiser l’impact des incidents cybernétiques et éviter des perturbations majeures comme la suspension des cours ou des pannes prolongées des systèmes critiques.
- Favorisez un soutien, pas des sanctions : Lorsqu’un employé commet une erreur honnête, la priorité doit être de l’aider à comprendre et à apprendre pour éviter que cela ne se reproduise. Cette approche favorise une culture de sécurité positive, plutôt que de recourir immédiatement à la sanction.
Votre cybersécurité mérite-t-elle un A ?
Notre équipe a aidé plusieurs institutions éducatives à optimiser leurs stratégies de cybersécurité. Ensemble, protégeons vos étudiants, votre personnel et vos informations institutionnelles.
Les institutions éducatives doivent orienter stratégiquement leurs utilisateurs vers des choix sécurisés pour garantir un environnement protégé. Cela passe par l'adoption par défaut de mesures de sécurité de base (comme l'authentification multifactorielle et les mises à jour régulières), simplifiant ainsi la protection des données sensibles des étudiants et du personnel pour l'ensemble de la communauté.