La rentrée scolaire marque aussi le retour des escroqueries – partie 2 : l’atténuation en action

Alors que les étudiants et les professeurs reprennent le chemin des campus à travers le pays cet automne, ils ne sont pas les seuls à retrouver leurs habitudes. Les cybercriminels aussi aiguisent leurs crayons, ou plutôt leurs e-mails de phishing et leurs attaques par ransomware, prêts à exploiter les vulnérabilités uniques qui font des établissements scolaires des cibles si attrayantes. La semaine dernière, nous avons évoqué certaines arnaques et menaces courantes. Cette semaine, nous allons examiner d’autres méthodes d’atténuation destinées aux fournisseurs de services managés (MSP).

L’époque où mâcher du chewing-gum et lancer des boulettes de papier constituaient les problèmes les plus importants pour les écoles est révolue depuis longtemps. Près des deux tiers des établissements d’enseignement ont signalé des cyberattaques en 2024, tandis que les attaques par ransomware visant les écoles primaires et secondaires ont connu une hausse de 92 % ces dernières années. Encore plus alarmant : 91 % des établissements d’enseignement supérieur ont identifié des violations ou des attaques selon le rapport britannique Cyber Security Breaches Survey 2025, faisant d’eux l’un des secteurs les plus ciblés.

Qu’est-ce qui rend les institutions éducatives si attractives pour les cybercriminels ? C’est une rafale de facteurs propices : elles détiennent des trésors de données sensibles, disposent souvent de budgets de cybersécurité limités et maintiennent des environnements ouverts et collaboratifs qui compliquent la mise en place de protections.

Pour comprendre comment les établissements scolaires peuvent mieux se défendre, nous avons interrogé deux experts en cybersécurité qui travaillent directement avec des écoles et connaissent leurs défis spécifiques.

Obtenir l’adhésion de la direction : la base de la cybersécurité scolaire

Brian Keeter, directeur principal chez APCO, un cabinet mondial de communication et de conseil en affaires, souligne qu’une cybersécurité efficace commence au sommet de la hiérarchie. Son approche s’articule autour de quatre axes clés que chaque institution éducative devrait prioriser.

Élever la cybersécurité au plus haut niveau

« La meilleure mesure qu’une institution académique puisse prendre est de faire de la protection des informations sensibles une priorité au plus haut niveau », explique Brian Keeter. « Trop longtemps, les responsables pédagogiques ont relégué la cybersécurité aux MSP ou au directeur informatique, s’en lavant symboliquement les mains. Sans l’implication de la direction, les MSP et les responsables informatiques se retrouvent souvent privés du mandat institutionnel ou des ressources nécessaires pour accomplir leur mission. »

Ce déficit de leadership est particulièrement préoccupant quand on considère qu’environ 60 % des violations de données sont imputables à des menaces internes, dont beaucoup découlent de programmes de formation et de sensibilisation insuffisants.

Revoir la formation à la cyberhygiène

Selon Brian Keeter, les menaces internes constituent une vulnérabilité majeure pour les écoles. « Certains rapports indiquent que les menaces internes, qu’elles soient accidentelles ou malveillantes, représentent jusqu’à 60 % des incidents de cybersécurité », souligne-t-il. « Une bonne hygiène numérique découle d’une formation cohérente et actualisée, qui constitue la première ligne de protection de l’établissement. Les responsables éducatifs devraient revoir leurs programmes de formation régulièrement afin de s’assurer qu’ils couvrent à la fois les faiblesses connues et les menaces numériques émergentes. »

Cette insistance sur la formation est corroborée par des recherches montrant que la formation de sensibilisation à la sécurité réduit les menaces internes de 45 %, ce qui en fait l’un des investissements de sécurité les plus rentables pour les établissements.

Auditer les informations sensibles

« Étonnamment, beaucoup d’écoles ignorent encore quelles informations sensibles elles détiennent, où elles sont stockées ou comment elles pourraient être compromises ou exploitées par des acteurs malveillants », observe Brian Keeter. « Une routine régulière d’audits et d’évaluations montre aux dirigeants scolaires où et comment traiter les vulnérabilités, les lacunes et les faiblesses, et les place en meilleure posture pour réagir rapidement et stratégiquement lorsqu’un incident survient. »

Mettre à jour (ou créer) un plan de réponse aux incidents

La dernière recommandation de Brian Keeter concerne la préparation : « Un plan de réponse aux incidents, c’est comme une assurance. On espère ne jamais avoir à s’en servir, mais si c’est le cas, on est infiniment reconnaissant de l’avoir. Ce manuel vous guide à travers les suites d’une cyberattaque, à court et à long terme. Il permet d’agir de manière stratégique grâce à la planification de scénarios, à des messages clés, à des communiqués préparatoires, à des procédures de communication interne, à des listes de contacts des parties prenantes, et plus encore. »

Cette préparation est cruciale, surtout quand on sait qu’il faut en moyenne 81 jours pour détecter et contenir un incident lié à une menace interne, et que plus la détection est tardive, plus les coûts associés grimpent.

Une approche complète de la sécurité

Bob Bilbruck, PDG de Captjur, une société de conseil stratégique et d’intégration, adopte une vision plus large du paysage des menaces qui pèsent sur les établissements éducatifs. « Alors que les écoles font face à des cybermenaces croissantes en 2025, les MSP et les responsables de la sécurité des systèmes d’information (RSSI) doivent rester vigilants et proactifs pour protéger les données sensibles des étudiants », souligne-t-il.

Bob Bilbruck identifie plusieurs vecteurs de menace majeurs dont les écoles doivent se préoccuper : « Avec l’augmentation des risques liés aux ransomwares, au phishing, aux attaques DDoS et aux menaces alimentées par l’intelligence artificielle (IA), il est crucial de mettre en place une approche de sécurité multicouche. Cela inclut l’adoption de cadres Zero Trust, le déploiement de l’authentification multifacteur, la mise à jour régulière des logiciels et le chiffrement des données sensibles. »

Comme de nombreux experts, Bob Bilbruck rappelle aussi que la protection des terminaux reste un axe critique pour les MSP.

« Les écoles devraient également investir dans la protection des terminaux, élaborer des plans solides de réponse aux incidents et surveiller en continu leurs réseaux afin de détecter les anomalies », poursuit-il. « La collaboration entre MSP et RSSI est essentielle, qu’il s’agisse de réaliser des audits réguliers ou de garantir la conformité avec des réglementations sur la vie privée comme la Family Educational Rights and Privacy Act (FERPA) ou le Règlement général sur la protection des données (RGPD). »

L’aspect conformité est particulièrement important, car les écoles doivent naviguer dans un environnement réglementaire complexe tout en maintenant l’accès ouvert qui définit les environnements éducatifs. Bob Bilbruck note que cet équilibre exige une attention particulière, à la fois sur les contrôles techniques et sur la mise en œuvre des politiques.

« De plus, sensibiliser le personnel, les étudiants et les parents aux bonnes pratiques en cybersécurité et sécuriser les environnements d’apprentissage à distance sont essentiels pour instaurer une culture de cyber-résilience dans les écoles », conclut-il.

Alors que les cybermenaces continuent d’évoluer, les établissements d’enseignement doivent traiter la cybersécurité comme une priorité stratégique et non comme une simple préoccupation technique. En favorisant l’implication des dirigeants, en investissant dans des défenses multicouches et en instaurant une culture de sensibilisation, les écoles et les MSP peuvent travailler main dans la main pour protéger l’avenir de l’éducation. Le moment d’agir, c’est maintenant, avant que la prochaine violation ne fasse la une de demain.

Remarque : cet article a été initialement publié sur Smarter MSP.