Ce lundi d'octobre au matin, à leur arrivée à la Joliverie, un pôle d’enseignement privé allant de la primaire au bac+5, près de Nantes (Loire-Atlantique), les enseignants ont eu la mauvaise surprise de trouver leurs fichiers chiffrés et inaccessibles. "Nous avons été victimes d’une attaque de ransomware – ou rançongiciel – avec des hackers qui entrent dans le système, qui cryptent les sauvegardes de données et qui demandent une rançon pour nous laisser récupérer celles-ci. Heureusement, aucune donnée personnelle n’a été compromise", témoigne Patrick Bizet, son directeur général.
Multiplication des cyberattaques dans le secondaire et le supérieur
Ce type de mésaventure est désormais partagé par de nombreux directeurs d’établissements, du secondaire comme du supérieur. Pour n’en citer que quelques-uns, cyber attaqués en 2022 : le lycée Hélène Boucher de Thionville en janvier, l’Enac (Ecole nationale de l’aviation civile) en mars, Toulouse INP et le pôle Léonard de Vinci, mi-septembre, l’IUT Paris-Rives de Seine début décembre…
"Le numérique est désormais omniprésent dans le fonctionnement des établissements et irrigue tous les services, ce qui donne aux hackers une surface d’attaque très significative, explique François Gilles, directeur des systèmes d'Information de la région académique d'Ile-de-France (DRASI). En parallèle, les acteurs de la cyber malveillance – qui peuvent parfois être des élèves eux-mêmes – se professionnalisent et sont capables d’attaques de plus en plus sophistiquées."
Le numérique est désormais omniprésent dans le fonctionnement des établissements et irrigue tous les services, ce qui donne aux hackers une surface d’attaque très significative. (F. Gilles, DRASI)
Les structures d’enseignement suscitent un fort intérêt de la part des cybercriminels. "Dans le secondaire, ils sont intéressés par les bases de données et les comptes d’accès d’élèves et d’enseignants, potentiellement monnayables, ainsi que par les sabotages de l’organisation d’épreuves nationales ou de campagnes d’affectation de type Parcoursup, précise Nicolas Eslous, fonctionnaire de sécurité des systèmes d’information (FSSI) au secrétariat général du MENJ et du MESR. Dans l’enseignement supérieur, une menace supplémentaire existe sur les données des laboratoires de recherche, hébergés par les établissements, en vue de récupérer des informations sensibles de savoir-faire technologique et scientifique."
De nombreuses failles de sécurité dans l'enseignement
Si le danger est si présent, c’est aussi parce que le secteur de l'enseignement regorge de vulnérabilités. Techniques, d’abord. Par manque de temps ou de moyens, les structures ne font pas de l’informatique leur priorité. D’où des serveurs parfois mal configurés, des mises à jour non effectuées, des versions de logiciels obsolètes présentant des failles de sécurité, ou encore des mots de passe trop faibles, faciles à pirater.
Chez nous, la remise en état des systèmes se chiffre en dizaines de milliers d’euros au total. (P. Bizet, la Joliverie)
Relatives aux pratiques, ensuite. "Un établissement d’enseignement est un système fragile, car très ouvert, avec chaque année de nouveaux élèves qui se connectent et de nombreux accès à distance (cours en ligne, vacataires…)", pointe Olivier Chansou, directeur général de l’Enac. A la clé, de nombreux risques notamment sur le fonctionnement des services (cours, scolarité, demi-pension...) qui peut être dégradé pendant des semaines, voire des mois. D'autres risques concernent la défiguration de sites ; l'impact sur la réputation des établissements ; les cyber menaces envers les personnes… Sans compter des frais conséquents.
"Chez nous, la remise en état des systèmes se chiffre en dizaines de milliers d’euros au total", illustre Patrick Bizet, directeur général de la Joliverie. La responsabilité juridique (de l’établissement dans le secondaire, du recteur dans le supérieur) peut également être engagée.
Face à une cyberattaque, sécuriser l’environnement, puis réparer
En cas d’attaque, il convient de se plier à un certain nombre de démarches urgentes, pour limiter au minimum les dégâts. Première action : informer toutes les parties prenantes (personnels administratifs et enseignants, élèves, partenaires extérieurs) de l’attaque, afin qu’eux-mêmes sécurisent leurs dispositifs. Et bloquer l’ensemble du système informatique (serveurs, comptes utilisateurs, badges…), le temps de faire les analyses nécessaires sur ce qui a été perdu ou endommagé, afin d’éviter toute propagation du virus.
Un établissement d’enseignement est un système fragile, car très ouvert, avec chaque année de nouveaux élèves qui se connectent et de nombreux accès à distance. (O. Chansou, Enac)
Il convient aussi de prendre contact avec les autorités compétentes, auprès desquelles la déclaration de tout incident de ce type est obligatoire : rectorat, Commission nationale de l’informatique et des libertés, Agence nationale de la sécurité des systèmes d’information (ANSSI), assureur, services de police... "Le dépôt de plainte permet à l’enquête d’avancer et de réduire les risques à l’avenir, pour l’établissement en question et pour les autres", décrypte Patrick Bizet.
Il faut ensuite s’atteler à la phase d’analyse et de réparation. Ce qui peut nécessiter de s’entourer, outre les services institutionnels, de l’expertise d’une société privée. "En choisir une certifiée par l’ANSSI", recommande Sébastien Tran, directeur général d’EMLV. Surtout, ne pas payer la rançon demandée. "Le faire, c’est aider l’écosystème de la cyber malveillance, sans aucune garantie de récupérer les données. De plus, cela ne règle pas la fragilité à l’origine de l’intrusion", pointe Nicolas Eslous.
Une démarche de sensibilisation, et de formation, aux risques cyber
Au-delà, lutter contre les risques de cyberattaques va de pair avec une démarche de prévention au long cours. Laquelle passe par une sensibilisation forte des personnels et des élèves. "A la suite de l’attaque, nous avons accéléré notre campagne de formation de nos collaborateurs, y compris vacataires et comité de direction, et prévu aussi de former tous nos étudiants, afin d’amener chacun à acquérir les bons réflexes", témoigne Sébastien Tran.
Les chefs d’établissements peuvent aussi s’appuyer sur le plan de sensibilisation mis en œuvre par le ministère. "Nous proposons des ressources en et hors ligne, des séminaires et webinaires dédiés, précise François Gilles. Nous insistons aussi beaucoup sur la formation initiale des élèves, via le Parcours citoyenneté numérique, qui porte notamment sur la prévention des risques en matière de cyber violences."
La prévention des cyberattaques nécessite une veille constante et une mise à jour régulière des protocoles de sécurité pour s'adapter aux nouvelles menaces.
