Cybersécurité dans l'enseignement supérieur : problèmes et solutions
Publié: 2022-03-11Les établissements d'enseignement supérieur sont confrontés à un déluge constant de cyberattaques. À la suite d'un incident en 2015, Kevin Morooney - ancien vice-recteur aux technologies de l'information à l'Université d'État de Pennsylvanie - a déclaré au New York Times que Penn State faisait face à une moyenne de 20 millions d'attaques par jour, un montant "typique pour une université de recherche".
En commençant par un petit échantillon des effets financiers que ces menaces peuvent avoir, la société de criminalistique numérique et de cybersécurité LIFARS a estimé dans un rapport de 2016 que les attaques de Spear Phishing - conçues pour infiltrer une organisation et voler des informations sensibles, souvent par e-mail - coûtent aux entreprises en moyenne 1,8 million de dollars par incident. Dans un rapport de 2017, Cybersecurity Ventures a prédit que les attaques impliquant des ransomwares - qui menacent de voler, bloquer ou publier les données d'une victime à moins qu'une rançon ne soit payée - causeraient environ 5 milliards de dollars de dommages en 2017, contre 325 millions de dollars en 2015.
L'enseignement supérieur avait le taux le plus élevé d'attaques de ransomwares parmi toutes les industries étudiées dans un rapport de 2016 publié par BitSight (une société de gestion des cyber-risques), et le deuxième taux le plus élevé dans le rapport 2017 de BitSight. En conséquence, les universités travaillent 24 heures sur 24 pour renforcer leurs défenses contre ces pertes potentielles importantes. Comme l'a déclaré Kim Milford, directrice exécutive du Research and Education Networking Information Sharing and Analysis Center de l'Université de l'Indiana dans un article de 2016 écrit par le Center for Digital Education, les universités sont désormais "enfermées dans une course aux armements coûteuse" alors qu'elles explorent de nouvelles façons de à la fois en combattant les attaques actuelles et en essayant de garder une longueur d'avance sur les attaques à venir. Indépendamment du succès des cyberattaques, dit Milford, elles représentent un problème coûteux et omniprésent que les universités sont obligées de résoudre.
Peut-être encore plus importantes que les pertes financières potentielles, les cyberattaques constituent une grave menace pour la réputation d'une université et la sécurité de ses étudiants.
Mais les risques posés par les cyberattaques vont au-delà des pertes financières pour le monde de l'enseignement supérieur. En effet, les collèges et les universités hébergent un énorme volume de données sensibles, des numéros de sécurité sociale des étudiants à la propriété intellectuelle précieuse, qui, si elles sont volées ou compromises, pourraient causer des dommages importants bien au-delà des murs de l'académie. Peut-être encore plus importantes que les pertes financières potentielles susmentionnées, les cyberattaques constituent une grave menace pour la réputation d'une université et la sécurité de ses étudiants.
Bien que les menaces évoluent constamment, les collèges et les universités doivent continuer à investir dans le talent et l'infrastructure nécessaires pour relever les défis de la cybersécurité à l'avenir. Cet article éclairera davantage l'importance de développer une expertise en cybersécurité pour les établissements d'enseignement supérieur et proposera des stratégies pour relever ces défis. En commençant par un examen des raisons pour lesquelles les collèges et les universités sont particulièrement vulnérables aux cyberattaques, nous chercherons à comprendre les stratégies utilisées par les attaquants pour exploiter ces vulnérabilités et arriverons à un ensemble de recommandations conçues pour mieux équiper les collèges et les universités pour faire face aux cybermenaces à l'avenir.
Pourquoi l'enseignement supérieur est-il vulnérable ?
Alors que pratiquement toutes les grandes industries sont confrontées à d'importants défis en matière de cybersécurité, l'enseignement supérieur est particulièrement vulnérable pour un certain nombre de raisons clés.
L'un a à voir avec la culture unique du milieu universitaire, qui se targue d'un degré d'ouverture et de transparence qui fait défaut à la plupart des industries. Comme Fred Cate, directeur du Centre de recherche appliquée sur la cybersécurité de l'Université de l'Indiana, l'a expliqué dans un article de UniversityBusiness de 2013, les collèges et les universités ont toujours concentré leurs efforts pour s'assurer que « notre corps professoral, nos étudiants, notre public et nos donateurs [peuvent] se connecter assez facilement pour nous. Cela a rendu les réseaux informatiques des collèges et universités, selon l'article, « aussi ouverts et invitants que leurs campus ».
Une autre raison est liée à l'histoire - en particulier, depuis combien de temps les collèges et les universités sont en ligne. Alex Heid, directeur de la recherche chez SecurityScorecard (une société tierce de gestion des risques) a déclaré dans un article EducationDIVE de 2016 que les universités ont toujours été les principales cibles des cyberattaques, en grande partie parce que « les universités étaient l'un des premiers endroits à avoir accès à Internet, et avec l'accès à Internet, vous avez des gens qui essaient de voir jusqu'où cela peut aller. En raison de leur accès à Internet depuis relativement longtemps, les collèges et les universités sont depuis longtemps des cibles visibles, et leurs faiblesses sont donc probablement très bien connues et comprises par les cyberattaquants.
Les cyberattaquants utilisent des technologies et des méthodes de pointe pour exploiter des systèmes universitaires qui sont, dans certains cas, terriblement obsolètes et dépassés.
Étant donné que les collèges et les universités ont été si précoces dans l'adoption d'outils et d'interfaces numériques (et en raison de problèmes financiers et d'autres problèmes pratiques), de nombreux établissements d'enseignement supérieur s'appuient encore sur des systèmes hérités qui sont particulièrement vulnérables aux attaques. "Beaucoup de collèges utilisent des choses qui ont été écrites il y a des années", a déclaré Heid dans l'article susmentionné. En termes simples, les cyberattaquants utilisent des technologies et des méthodes de pointe pour exploiter des systèmes universitaires qui sont, dans certains cas, terriblement dépassés et dépassés.
Plus précisément, les systèmes informatiques universitaires sont souvent caractérisés par une construction décentralisée et, selon Heid, aléatoire que les attaquants peuvent facilement exploiter. Dans un article de blog de 2017 pour la société de logiciels et de gestion des risques de données Code42, Ashley Jarosch note que même s'il peut être logique d'un point de vue opérationnel que des départements individuels fonctionnent sous leurs propres structures informatiques (le département d'astrophysique d'une université aura probablement, écrit-elle, des besoins technologiques que le département de littérature d'une université, par exemple), ce type de configuration au coup par coup crée des vulnérabilités évidentes en matière de sécurité de l'information. "Dans une douzaine (ou des dizaines) de départements, il y a de fortes chances qu'au moins un ait une combinaison d'appareils obsolètes et de systèmes d'exploitation non corrigés, un filtrage des e-mails et un antivirus inadéquats, une sauvegarde des données défectueuse ou une formation et une politique des utilisateurs insuffisantes", écrit Jarosch.
Bien qu'il ne s'agisse pas d'un problème spécifique à l'enseignement supérieur, la pénurie de talents en cybersécurité représente un obstacle important que les collèges et les universités doivent surmonter pour résoudre les problèmes mentionnés ci-dessus. Une étude récente menée par le cabinet de conseil Frost & Sullivan prévoit qu'il y aura 1,8 million d'emplois non pourvus en cybersécurité d'ici 2020 et que cette pénurie de talents existe à l'échelle mondiale, près de 70 % des professionnels dans le monde affirmant qu'il y a trop peu de travailleurs de la cybersécurité dans le personnel. . La demande de talents en cybersécurité dépassant de loin l'offre, les entreprises paient souvent le gros prix pour l'expertise en cybersécurité. Cela désavantage probablement les collèges et les universités lorsqu'ils tentent d'attirer ces talents loin des emplois bien rémunérés du secteur privé chez Alphabet, Facebook, etc.
Avec une compréhension des raisons sous-jacentes aux vulnérabilités de la cybersécurité de l'enseignement supérieur, nous pouvons maintenant explorer les façons dont ces vulnérabilités sont exploitées.
Comment les attaquants exploitent les vulnérabilités
Les acteurs néfastes utilisent une gamme variée de tactiques et d'outils lorsqu'ils lancent des cyberattaques. Deux de ces méthodes les plus courantes sont décrites ci-dessous. Bien que cette liste ne soit en aucun cas exhaustive, ni unique aux collèges et universités, elle fournira une meilleure compréhension de la manière exacte dont les pirates informatiques visent à exploiter les lacunes de la cybersécurité et s'avérera utile pour déterminer la meilleure façon d'arrêter de telles attaques à l'avenir.
Injections SQL : décrites par certains comme "sans doute le problème le plus grave auquel les applications Web sont confrontées", les injections SQL (SQLi) sont, en termes simples, des attaques conçues pour contourner les protections par mot de passe en exploitant les bases de données qui sous-tendent certaines applications. SQL (Standard Query Language) est un langage qui gère et communique avec des bases de données. Les injections SQL fonctionnent en exploitant les faiblesses du code sous-jacent aux pages d'entrée (telles que les pages de connexion par nom d'utilisateur et mot de passe, par exemple) et en forçant une base de données donnée à renvoyer des informations sensibles. Par exemple, face à une page de connexion avec nom d'utilisateur et mot de passe, un attaquant peut saisir ("injecter") une portion de code SQL dans la section du mot de passe. Si le code de la base de données sous-jacente est vulnérable, ce code SQL pourrait modifier la base de données sous-jacente et forcer l'application contrôlée par la base de données à autoriser l'accès au pirate.
Les collèges et les universités disposent d'une myriade d'applications en ligne protégées par mot de passe, allant des relevés de notes des étudiants aux informations sur l'emploi des professeurs, qui pourraient théoriquement être piratées à l'aide d'injections SQL. L'une de ces attaques contre l'enseignement supérieur a eu lieu en février 2017, lorsqu'un hacker ou un groupe de hackers russes a utilisé des injections SQL pour voler des données à des dizaines de collèges et universités américains, dont l'Université Cornell et l'Université de New York. Tant que les établissements d'enseignement supérieur continueront d'avoir des faiblesses inscrites dans leurs bases de données sous-jacentes, les injections SQL resteront probablement courantes et trop faciles à utiliser pour les pirates.
Hameçonnage : comme mentionné au début de cet article, les attaques de phishing se caractérisent par des e-mails ou des pages Web conçus pour inciter les utilisateurs à saisir des données sensibles, telles que des mots de passe ou des informations de carte de crédit. Le Bureau de la sécurité de l'information de l'Université de Princeton fournit un aperçu utile de la manière dont ces attaques se manifestent généralement :
« En règle générale, le phisher envoie un e-mail à un grand groupe d'individus dont il a capturé les adresses à partir de carnets d'adresses et de sites Web sur Internet. Le message, généralement bien conçu et d'apparence officielle, peut prétendre provenir d'une institution financière, d'un fournisseur de services ou de toute autre organisation connue du destinataire… Souvent, le destinataire est invité à fournir les informations en cliquant sur un lien de site Web dans le courriel. Mais bien que le lien vers le site Web puisse sembler légitime, le lien qui s'affiche n'est pas nécessairement le site réel que vous visitez lorsque vous cliquez dessus.
30 % des utilisateurs du secteur de l'éducation ont été victimes d'escroqueries par hameçonnage se faisant passer pour des communications d'entreprise, soit le double du taux de la population générale, l'année dernière.
Les attaques de phishing peuvent avoir un large éventail d'objectifs ultimes, allant du vol de données utilisateur à l'installation d'un ransomware sur l'ordinateur d'une victime et à l'extraction d'un paiement financier. Bien que ces attaques puissent sembler évidentes et faciles à éviter, des études ont montré qu'une grande majorité d'entreprises ont été victimes d'escroqueries par hameçonnage. Le secteur de l'éducation s'est avéré particulièrement sensible, car Wombat Security - une société de logiciels dédiée à aider les entreprises à lutter contre les attaques de phishing - a découvert dans un rapport de 2017 que 30% des utilisateurs du secteur de l'éducation ont cliqué sur des escroqueries par phishing se faisant passer pour des communications d'entreprise, soit le double du taux de la population générale, au cours de la dernière année.
Bien que les tactiques mentionnées ci-dessus se soient avérées efficaces, nous verrons qu'elles peuvent être évitées.
Comment prévenir les attaques : meilleur code et plus grande vigilance
Il existe un certain nombre de stratégies pour lutter contre les cyberattaques décrites ci-dessus. Certaines impliquent des stratégies que les professionnels de l'informatique de l'enseignement supérieur doivent employer eux-mêmes, tandis que d'autres impliquent des stratégies que tous les membres de la communauté de l'enseignement supérieur, y compris les utilisateurs finaux, doivent mettre en œuvre :
Arrêt des attaques SQLi via des instructions préparées, des procédures stockées et la validation des entrées
Beaucoup a été écrit sur la façon de prévenir les attaques par injection SQL, et le consensus est que cela peut ne pas être particulièrement difficile. L'Open Web Application Security Project (OWASP) fournit un aperçu de la façon d'éviter les attaques SQLi. L'OWASP cite trois stratégies principales pour y parvenir :
Relevés préparés : Les collèges et les universités doivent construire leurs bases de données sous-jacentes avec des relevés préparés. Comme le dit l'OWASP, "les instructions préparées garantissent qu'un attaquant ne peut pas modifier l'intention d'une requête, même si des commandes SQL sont insérées par un attaquant". Essentiellement, les instructions préparées peuvent rendre impuissantes les commandes SQL se présentant comme des données d'entrée utilisateur (noms d'utilisateur et mots de passe).
Procédures stockées : selon l'OWASP, les procédures stockées peuvent avoir le même effet que les instructions préparées, la principale différence étant que "le code SQL d'une procédure stockée est défini et stocké dans la base de données elle-même, puis appelé depuis l'application". Comme l'OWASP et d'autres l'ont écrit, les procédures stockées peuvent ne pas toujours être appropriées pour la défense contre les attaques SQLi, mais constituent une option viable pour les collèges et les universités lorsqu'elles sont écrites et mises en œuvre correctement.
Validation des entrées : les attaques par injection SQL exploitent les applications et les bases de données qui ne font pas référence croisée et ne valident pas les données saisies. Une étape logique vers la prévention de ces attaques consiste donc à s'assurer qu'une base de données en cours de construction nécessite une validation des entrées. Microsoft cite également la validation des entrées comme une technique clé pour éviter les attaques SQLi dans son modèle de développement Web ASP.net.
Prévention du phishing par la formation et la suspicion accrue
Contrairement à la prévention des attaques SQLi, qui peut être effectuée par le biais de correctifs techniques internes, la prévention des escroqueries par hameçonnage repose en grande partie sur les utilisateurs finaux - professeurs, personnel et étudiants. Les collèges et les universités doivent prendre plusieurs mesures pour s'assurer que tous les utilisateurs finaux restent vigilants :
Filtres de messagerie : dans un premier temps, les collèges et les universités doivent configurer des filtres de messagerie qui envoient des e-mails non universitaires suspects dans le dossier de spam d'un utilisateur. Bien que ce soit loin d'être une solution infaillible, il s'agit d'une première étape importante qui peut empêcher les e-mails malveillants d'atteindre leurs cibles.
Campagnes de formation et de sensibilisation : Les collèges et les universités devraient exiger que les utilisateurs finaux suivent une formation qui couvre ce qu'est le phishing et comment le reconnaître. Il existe des entreprises dédiées à fournir ce service, et les établissements d'enseignement supérieur doivent être prêts à investir le temps et les ressources nécessaires pour former correctement leurs facultés et leur personnel. Comme le souligne un article d'Infosecurity Magazine, cette formation doit être répétée de manière relativement régulière et doit exposer les utilisateurs à un large éventail d'attaques de phishing. Fournir des exemples d'attaques réelles et créer un référentiel pour de telles attaques, comme l'Université de Princeton l'a fait avec son "Phish Bowl", peut également renforcer la sensibilisation.
"Éduquer nos clients en termes d'informatique sécurisée apporte l'un des plus grands retours sur investissement."
Sasi Pillay, vice-président des services de technologie de l'information et directeur de l'information à l'Université de l'État de Washington, déclare que lui et son équipe organisent un mois annuel de sensibilisation à la cybersécurité et ont cherché à créer une «culture de cybersensibilisation» générale pour lutter contre le phishing - le numéro de l'université un problème de cybersécurité. "Éduquer nos clients en termes d'informatique sécurisée apporte l'un des plus grands retours sur investissement", déclare Pillay.
Bien que les stratégies énumérées ci-dessus ne soient pas exhaustives et puissent ne pas empêcher toutes les attaques, elles représentent des étapes relativement simples qui peuvent apporter des avantages significatifs dans la lutte de l'enseignement supérieur contre les cybermenaces potentielles.
Les clés d'un avenir sûr
Comprendre les vulnérabilités, le fonctionnement des cyberattaques courantes et la manière de prévenir ces attaques est fondamental pour créer un avenir plus sûr et financièrement stable pour l'enseignement supérieur. Pourtant, les cybermenaces évoluent constamment, et rien ne garantit que les menaces auxquelles nous sommes confrontés aujourd'hui (et les stratégies pour les atténuer) ressembleront à celles de demain.
Pour Sasi Pillay, la solution à long terme à la cybersécurité doit inclure des changements fondamentaux dans la façon dont les logiciels sont écrits et conçus.
« Mon rêve, ma vision à long terme, est de pouvoir faire de l'informatique sécurisée dans un environnement compromis », déclare Pillay. "Ce que nous devons faire, c'est changer considérablement la façon dont nous écrivons des logiciels aujourd'hui. Le développement de logiciels doit être renforcé afin que les gens prennent en compte les risques et les expositions en matière de sécurité. »
Une autre clé pour relever les futurs défis de la cybersécurité, mentionnée brièvement dans cet article, est d'employer une équipe solide et stable d'experts sur le terrain. C'est bien sûr plus facile à dire qu'à faire, car les budgets des universités sont serrés et les talents se font rares. Pourtant, il existe plusieurs façons de contourner ce problème, y compris l'embauche d'experts indépendants et ceux qui souhaitent travailler à distance.
Bien que les défis en matière de cybersécurité auxquels est confronté l'enseignement supérieur soient importants et que le coût de leur résolution soit élevé, les risques financiers et de réputation potentiels liés à une défense insuffisante sont probablement encore plus élevés. Les établissements de l'ensemble du paysage de l'enseignement supérieur peuvent constater que des solutions de cybersécurité efficaces peuvent finalement s'autofinancer.