Par Amy Baker, VP Marketing de Wombat Security, une division de Proofpoint.
Les universités ont pris conscience que la cybersécurité est une problématique majeure. Etant donné la valeur des données qu'elles détiennent, elles sont devenues une cible de choix pour des attaques pouvant venir à la fois de l'extérieur comme de l'intérieur. Ces menaces ne sont pas ignorées. En témoignent les efforts réalisés en matière de protection des réseaux et des équipements sur les campus et l'importante augmentation des budgets alloués à la cybersécurité dans l'enseignement supérieur au cours de ces dernières années.
Certes, ces initiatives sont positives. Mais ce que trop peu d'acteurs de l'enseignement supérieur (ou d'autres secteurs) réalisent, c'est que les cybermenaces évoluent en permanence. Aujourd'hui, les cybercriminels ciblent de plus en plus les vulnérabilités des individus, et pas seulement des technologies. Ces individus sont le personnel universitaire, mais aussi les étudiants qui, pour diverses raisons, peuvent être particulièrement vulnérables à des formes d'ingénierie sociale de plus en plus sophistiquées.
Protéger les individus
Les acteurs malveillants multiplient les techniques d’approche pour piéger leurs victimes. Ils envoient par exemple des emails de phishing de plus en plus réalistes, utilisent des applications frauduleuses ou usurpent l'identité de responsables d'université pour amener les personnes, même les plus vigilantes, à cliquer sur un lien malveillant ou à télécharger une pièce-jointe corrompue. La mise en place de défenses comme des pare-feu ou des antivirus contribue à protéger les individus. Mais les stratégies les plus efficaces en matière de cybersécurité sont celles qui prennent aussi en compte la nécessité de développer la résilience chez les individus, par le biais de formations et de programmes de sensibilisation. Sans ce niveau de conscience, il y aura toujours quelque part quelqu'un, membre du personnel ou étudiant, pour cliquer là où il ne faut pas !
Les formations et les programmes de sensibilisation sont généralement conçus pour apprendre à renforcer sa vigilance et à constituer la dernière ligne de défense face aux attaques qui ciblent une organisation. La simulation d'attaques de phishing et l'utilisation de programmes de gamification sont réellement efficaces pour empêcher les individus de devenir victimes d'une cyberattaque. Contrairement à d'autres organisations, les universités doivent gérer l'importante rotation des cibles de ces attaques, autrement dit les étudiants, qui peuvent être particulièrement vulnérables aux attaques de phishing, notamment ceux qui intègrent l'université pour la première fois cet automne. L’email étant un canal de communication privilégié par les universités, les organismes de prêt et de logement, il peut être facile de se faire piéger par un message malveillant, surtout s'il est bien imité et envoyé au bon moment.
À qui incombe la responsabilité de la sensibilisation à la sécurité ?
Lorsque l’on examine les menaces qui pèsent sur les étudiants, il est facile de nier la responsabilité de la sensibilisation comme une problématique individuelle. Les universités doivent se pencher sur le degré d'interaction des étudiants avec les réseaux et les services numériques sur les campus. Les étudiants utilisent leur propre ordinateur portable et autres appareils mobiles qui n'entrent pas dans le périmètre de sécurité établi par l'université. Ils se connectent aux systèmes centralisés de l'université et accèdent à des données critiques dans le cadre de leurs études. Une erreur - un clic sur un lien malveillant au mauvais moment - peut provoquer d'importants dégâts. Sachant cela, mettre en place un programme efficace, structuré et intégrant les étudiants est un investissement très utile.
L'Université de Carnegie Mellon adopte une approche concertée pour lutter contre le phishing
Certains organismes de l'enseignement supérieur aux États-Unis ont déjà pris des mesures pour introduire des formations et des programmes de sensibilisation pour les étudiants et pas seulement pour le personnel. L'Université de Carnegie Mellon (CMU) à Pittsburgh par exemple, qui réunit environ 1400 membres du personnel et 14 000 étudiants, a constaté dans le cadre de ses propres recherches que les 18-25 ans étaient particulièrement vulnérables aux attaques de phishing. Si l'on ajoute à cela que les attaques sont toujours plus sophistiquées et contournent de plus en plus facilement les filtres des antivirus, l'université a considéré qu'il était nécessaire de sensibiliser toute la communauté d'utilisateurs.
La CMU a ainsi mis en place un programme basé sur des simulations de phishing avancées, permettant aux administrateurs d'évaluer la vulnérabilité des utilisateurs aux pratiques d'ingénierie sociale. Lorsque des utilisateurs se font piéger par une simulation d'attaque, le système enregistre leur erreur et déclenche des séquences d'apprentissage en temps réel, expliquant comment éviter de se faire piéger par des attaques similaires à l'avenir. Une fois l'efficacité du programme avérée pour le personnel, l'université a déployé deux campagnes dédiées aux étudiants. Ces campagnes intégraient des modules de formation complémentaires basés sur le jeu, apprenant aux utilisateurs à identifier les liens web frauduleux sur les réseaux sociaux. Les conseils donnés aux utilisateurs après la simulation d'une attaque de phishing ont permis de réduire de 50% le nombre de participants piégés par des messages de phishing. Désormais, la CMU intègre la formation gamifiée à son programme et tous les étudiants de première année sont tenus de suivre ces cours dans le cadre d’un programme de e-learning.
Face aux menaces de plus en plus sophistiquées qui ciblent les individus et non plus seulement les technologies, les acteurs de l'enseignement supérieur français doivent clairement ré-évaluer leur approche en matière de cybersécurité. Les campus sont des lieux de connexion et de partage d'idées. La technologie doit faciliter cela au lieu de placer les étudiants dans un carcan de sécurité trop rigide. Si elles n'orientent pas correctement leur stratégie de sécurité, les universités risquent de tourner le dos à la vraie menace. Développer la résilience des étudiants face aux cybermenaces est un investissement à ne pas négliger car cela concerne l'université dans sa globalité.