Le dimanche 11 août, les agents de la Direction des Systèmes d'Information (DSI) de l'université Paris-Saclay se rendent compte que leur système fait l'objet d'une cyberattaque. Aussitôt leur hiérarchie prévenue, une cellule de crise est mise en place, afin de décider des mesures à prendre.
Plus de 250 attaques informatiques visant des universités françaises ont été recensées entre 2019 et 2023, "soit une attaque tous les six jours", estime l'Amue (agence de mutualisation des universités et établissements d'enseignement supérieur ou de recherche et de support à l'enseignement supérieur ou à la recherche).
"Avec le responsable de la sécurité des systèmes d'information (RSSI), nous nous disons souvent que la question n'est pas de savoir si nous serons attaqués, mais quand", remarque Romuald Arnold, vice-président délégué au numérique de l'université de Reims, qui précise que l'incident ayant eu lieu au sein de son établissement début septembre était relativement mineur.
Réagir selon l'ampleur de l'attaque
Face à un événement d'une plus grande ampleur, l'enjeu est alors de savoir réagir. À Reims, un "plan de reprise d'activité", sorte de solutions de secours en mode dégradé, a été défini en amont pour chaque service.
Dans des situations comme celles survenues à Saclay, les universités bénéficient de l'accompagnement de l'ANSSI (Agence nationale de la sécurité des systèmes d'information). "Elle nous apporté une expertise de gestion de crise, mais aussi une expertise technique", décrit Kim Nguyen, vice-président SI et numérique à l'université Paris-Saclay.
La question n'est pas de savoir si nous serons attaqués, mais quand (R. Arnold, vice-président délégué au numérique de l'université de Reims)
Leurs experts techniques ont en effet pu initier la remise en service des infrastructures, et sont chargés d'enquêter sur les origines de la faille. "Ils ont exclu toute perte ou vol de données", rassure le vice-président. Fin août, tous les personnels de Saclay ont pu retrouver une adresse électronique sans pour autant, jusqu'à présent, avoir accès à leur historique.
"L'objectif est que la majorité des applicatifs opérationnels soient rétablis d'ici la fin du premier semestre, avance Kim Nguyen. Lorsque les services seront remontés, une phase de re-saisie de certains actes sera nécessaire."
Le retour à un fonctionnement totalement "normal" reste difficile à évaluer : cela dépend non seulement de la nature de l'attaque, mais aussi de la configuration initiale. "L'ANSSI estime que les conséquences se feront certainement ressentir durant plusieurs semaines, voire plusieurs mois", rapporte Kim Nguyen.
S'organiser pour se protéger
"France Universités essaie de sensibiliser les présidents d'universités à la cybersécurité", assure Gilles Roussel, président de l'université Gustave Eiffel et référent numérique au sein de l'association.
La nomination d'un responsable de la sécurité des systèmes d'information (RSSI) est un premier pas qu'ont franchi la quasi-totalité des universités. Avec son équipe, il supervise la sécurité numérique des établissements, grâce à divers outils - anti-virus, pares-feux, systèmes de surveillance… – et est accompagné par un organisme dédié, au niveau national, le CERT (Computer emergency response team) RENATER.
"Ses alertes nous permettent notamment de repérer des comptes compromis", note Cédric Foll, directeur général délégué au numérique de l'université de Lille.
Objectif : 10% du budget informatique dédié à la sécurité informatique
Ces différentes forces vives et matérielles impliquent des moyens financiers. En ce sens, l'ANSSI recommande aux universités de consacrer 10% du budget informatique à la sécurité.
Un objectif que n'atteignent pas la grande majorité des établissements, malgré des évolutions, comme le note Cédric Foll. "Il y a un changement de perspective de notre gouvernance et nos usagers depuis deux ou trois ans. Chez nous, le budget global de la direction générale déléguée du numérique a notamment augmenté, afin de financer des projets de cybersécurité."
Parmi ceux-ci : une sensibilisation au phishing (hameçonnage, arnaque consistant à inciter la victime à communiquer ses données personnelles, NDLR), le recours à un prestataire chargé de superviser la sécurité en continu ou encore la mise en place d'authentification forte. "Ces actions nécessitent des budgets spécifiques", affirme Cédric Foll.
La cybersécurité des universités coûte de plus en cher, d'autant plus que le marché des personnels en capacité de suivre ces problématiques est très tendu (G. Roussel, président de l'université Gustave Eiffel)
"La cybersécurité des universités coûte de plus en cher, confirme Gilles Roussel, d'autant plus que le marché des personnels en capacité de suivre ces problématiques est très tendu."
Pourtant, selon le président de l'université Gustave Eiffel, il est essentiel de mettre en place des politiques "suivies dans le temps, et non déployées à un instant T, lors d'un audit par exemple. Cela suppose de pouvoir supporter des coûts sur la durée".
À Paris-Saclay, "un effort conséquent sur la sécurité existait déjà, assure Kim Nguyen, fin septembre. Nous le poursuivons et le renforçons dès à présent. C'est l'une des raisons pour lesquelles le retour à la normale prend du temps : nous remettons les systèmes en route de manière sécurisée, en augmentant le niveau de nos exigences".
Le 9 octobre, la cyberattaque contre l'université Paris-Saclay était revendiquée par un groupe de rançongiciel. Celui-ci menaçait de divulguer des fichiers dérobés. Une nouvelle difficulté pour les équipes, plus de deux mois après l'attaque.
