La (cyber)sécurité est l'affaire de tous

Il semble à peine nécessaire de mentionner les risques que nous courons lorsque nous utilisons des appareils numériques, mais il ne fait jamais de mal d'ajouter plus de détails. Avoir un accès permanent aux informations, aux connaissances et aux personnes dont nous avons besoin dans notre vie quotidienne a un coût.

Comme le disent les économistes, il n'y a pas de déjeuner gratuit. Dans ce cas, nous le payons avec les risques que nous prenons et les engagements de sécurité informatique que nos organisations doivent prendre. Cet article se penche sur l'un des types d'organisations les plus touchés par les risques liés à l'utilisation d'appareils et de médias numériques : les universités.

Dans de nombreux pays, les centres de sécurité nationale mettent en garde contre le fait que les universités sont parmi les secteurs les plus vulnérables aux cyberattaques. Pourquoi ? Pour essayer de répondre, examinons quatre questions : (1) Pourquoi les universités ? (2) Quels sont les risques ? (3) Comment les universités peuvent-elles être lésées ? (4) Comment les universités peuvent-elles se protéger ?

La vulnérabilité des universités aux cyberattaques

Commençons par réfléchir à pourquoi les universités sont une cible. Les universités sont des organisations riches en informations - elles génèrent des données, des informations et des connaissances. Et elles le font en travaillant avec des personnes. Elles effectuent également un grand nombre de transactions financières via Internet. De plus, elles disposent d'infrastructures informatiques haute performance non seulement pour enseigner la nouvelle ère des ordinateurs quantiques, mais aussi pour mener des expériences dans le cadre de projets. Les actifs en connaissances et les capacités informatiques sont deux des principales cibles des criminels ; c'est pourquoi les universités ont été identifiées comme vulnérables.

Alors, quels risques encourent les universités ? Dans le cas des actifs numériques de connaissances, la méthode la plus courante consiste à les chiffrer afin d'exiger une rançon pour les récupérer (appelée rançongiciel). Dans certains cas, ces données sont publiées sur le dark web, où elles peuvent être utilisées à des fins criminelles. Les attaques de rançongiciels ont considérablement augmenté en tant que menace. On estime que 70 % à 80 % des organisations ont subi une sorte de préjudice à la suite d'attaques de rançongiciels. Ces prises de contrôle numériques posent un double problème. Dans le contexte du système universitaire espagnol, par exemple, avec une proportion significative d'étudiants dans les universités publiques, les réponses aux cyberattaques relèvent de la politique publique. Céder au kidnapping et au chantage n'est pas une position acceptable pour les autorités publiques. Dans le secteur privé, c'est différent : on estime que le coût de la récupération après une attaque de rançongiciel équivaut généralement au paiement de la rançon. En d'autres termes : si des actifs d'une valeur de 200 000 € sont saisis chez vous, cela vous coûte finalement les 200 000 € de rançon + 200 000 € pour revenir à la normale. Ces coûts résultent de la période d'indisponibilité, du coût des réparations et du coût d'opportunité de ce que vous n'avez pas pu faire. De plus, les attaquants détournent également fréquemment la capacité de traitement des universités. Les récentes attaques dans les contextes universitaires ont été utilisées pour le minage de cryptomonnaies - un moyen rapide et facile de gagner de l'argent. Bien que ce soit illégal !

En ce qui concerne le télétravail, cela ajoute une couche de complexité supplémentaire. Une évolution significative depuis 2020 a été la montée en flèche du travail à domicile. Le terme "sécurité périmétrique" désigne cet espace ou cette bulle dont nous avons besoin autour de nous pour utiliser un ordinateur ou un téléphone portable en toute sécurité. Lorsque nous sommes tous restés à la maison et avons travaillé, une grande partie de ce périmètre a connu un processus de changement. Et bien que les organisations aient renforcé leurs efforts en matière de cybersécurité, le contexte de bureau dispersé nécessitait une architecture informatique qui n'était pas toujours compatible avec la création d'espaces sécurisés. Les risques ont proliféré.

Types de risques et d'attaques en matière de cybersécurité auxquels sont confrontées les universités

Comment les attaquants accèdent-ils aux systèmes universitaires ? On estime qu'au cours du premier semestre de 2020, lors des premiers mois de la pandémie, les attaques de phishing - consistant à gagner la confiance d'une autre personne en se faisant passer pour quelqu'un d'autre - ont doublé. La méthode la plus couramment utilisée pour l'attaque consistait à envoyer un e-mail, en imitant l'identité de quelqu'un d'autre - avec un autre e-mail simplement en changeant une lettre, par exemple - et à ajouter une pièce jointe qui, lorsqu'elle était ouverte, installait un logiciel malveillant sur cet ordinateur. Avec le télétravail, nous nous sommes davantage appuyés sur l'e-mail et 

comme moyen principal de communication. Donc, faire passer quelque chose de cette manière est devenu plus facile. Les problèmes peuvent être plus importants si la personne en question, travaillant depuis son canapé en pyjama, utilise un appareil qui sert également à accéder à ses profils de médias sociaux, faire des achats en ligne ou organiser des visioconférences. Il semble probable que lorsque nous consoliderons les statistiques sur la cybercriminalité à l'ère post-pandémique, nous découvrirons sûrement que les atteintes à l'identité dans ces espaces se sont multipliées. Et c'est pourquoi nous devrions vérifier régulièrement si nous avons été victimes d'une atteinte à l'identité. De plus, l'accès peut se faire par le biais de systèmes d'information qui interagissent directement avec les données (attaques SQL) ou en simulant un mot de passe (Demandez-vous toujours si votre mot de passe est sécurisé). Quoi qu'il en soit, il est préférable d'être prudent en tant qu'individus. Et les organisations doivent l'être encore plus. C'est là que les systèmes d'authentification multi-facteurs (MFA) gagnent du terrain. Une étude de Times Higher Education a montré que 87 % des universités mettent en place la MFA pour le personnel (une augmentation de 15 % par rapport à 2020) et que 49 % la proposent pour certains ou tous les étudiants (une augmentation de 27 % par rapport à 2020).

Renforcement de la cybersécurité : stratégies pour les universités et importance de la sensibilisation

En plus d'agir avec prudence et d'améliorer l'éducation numérique (ce qui revient essentiellement à comprendre ce que nous utilisons et comment nous l'utilisons), la chose principale qui nous aide à nous protéger, c'est la sensibilisation. La communauté universitaire devrait s'inquiéter de tout cela. Les pertes potentielles ne sont pas seulement financières (vol de propriété industrielle, avantages concurrentiels, etc.), mais aussi de réputation. L'économie numérique repose sur la confiance ; pensez à combien d'amis vous avez qui n'achètent pas en ligne par peur de saisir des données personnelles. La réputation et la création d'un cadre de confiance lors de l'interaction avec les services Internet sont essentielles pour gagner en compétitivité numérique et profiter de tous ses avantages.

Avoir des actifs numériques uniques rend les universités plus précieuses. Mais à cela, nous devons ajouter deux autres facteurs : l'investissement dans la cybersécurité est encore faible par rapport à d'autres secteurs ; et la société en général (pas seulement le personnel universitaire) n'est toujours pas consciente des risques que nous courons lorsque nous naviguons sur Internet ou utilisons un ordinateur. Les cyberattaques sont en hausse dans le monde entier, et les entreprises et les universités subissent des pertes de plusieurs millions de dollars. Restez en sécurité !