La loi relative à la protection des données personnelles a été promulguée le 20 juin dernier. Elle a contraint le monde de l’éducation, et notamment ses responsables informatiques, à quelques changements. En effet, depuis la rentrée scolaire 2018, les établissements publics des premiers et seconds degrés sont tenus de rendre public, le registre de leurs traitements de données scolaires. Il s’agit entre autres de permettre aux parents d’élèves de savoir comment les données de leurs enfants sont traitées.
L’inquiétude envers la protection des données personnelles est au cœur des préoccupations. Les attaques WannaCry et Petya de l’an passé n’ont fait qu’accentuer ce sentiment, notamment chez les professionnels des secteurs d’activités les plus sensibles, dont les établissements scolaires.
Face à la multiplication de ces incidents, à l’ingéniosité des pirates informatiques et à la rigueur réglementaire, notamment le RGPD, les professionnels – traitant de données personnelles – doivent être vigilants. Aujourd’hui, l’enjeu est à la fois d’être protégé mais également de se tenir informé des cybermenaces existantes, qui pourraient mettre en péril la sécurité de l’infrastructure IT et celle de l’intégrité des datas de ses administrés. Dans ce contexte, quelques réflexes s’imposent aux responsables de la sécurité informatique des établissements scolaires.
Assurez un comportement responsable de chacun des maillons de la chaîne
Si la loi du 20 juin a pour but de définir les bases de protection des données des élèves contre toute forme de cybercrime, les menaces pesants sur ces dernières ne sont pas toujours facilement identifiées.
Le social engineering (ingénierie sociale) représente la plus grande menace en matière de vulnérabilité des données. Cette méthode tend à subtiliser des informations confidentielles ou certains actifs par la manipulation de personnes qui y ont accès directement ou indirectement. Experts dans l’art de développer des liens malveillants, les cybercriminels peuvent donc facilement reproduire des adresses email pour créer une illusion d’authenticité auprès de l’utilisateur et l’encourager à cliquer.
| Lire aussi le dossier de la rédaction : Sécurité, L’intelligence collective à l’épreuve
Pour contrecarrer ces tentatives frauduleuses, il est impératif de sensibiliser l’ensemble du personnel de l’établissement en l’informant de l’existence de ces méthodes et en l’encourageant à développer son sens critique à la réception de mail suspicieux. Chacun sera ainsi plus enclin à adopter un comportement plus responsable pour une meilleure protection du réseau IT et de ses composants.
Du point de vue de la gestion de la sécurité, assurer le contrôle du réseau, configurer les messageries contre le phishing, les spams et les fichiers exécutables non reconnus permettra, bien entendu, de limiter les risques. Pour limiter l’ingénierie sociale, l’analyseur de courriel permettra d’authentifier les messages entrants et d’écarter ceux à risque pour renforcer la protection du système.
Ne négligez pas les mises à jour
Avec WannaCry, de nombreuses entreprises ont été touchées en raison de leur système d’exploitation Windows XP obsolète, et plus généralement de toutes les versions antérieures à Windows 10. S’il est confronté à de faibles allocations budgétaires, le secteur de l’éducation doit toutefois s’assurer de la mise à jour régulière des systèmes d’exploitation qu’il emploie s’il veut sécuriser ses données.
| Lire aussi: Wannacry et notpetya rebattent les cartes
En réponse à cette contrainte budgétaire, les établissements peuvent recourir à des solutions logicielles faciles pour vérifier régulièrement les mises à jour de sécurité et bloquer l’accès aux applications potentiellement dangereuses.
Limitez la surface d’attaque
L’Internet des Objets (IoT) a modifié les habitudes de chacun. Le secteur de l’éducation n’en est pas exempt. Cependant, les tablettes, tableau interactif, ordinateur portable, etc. ne font qu’augmenter la surface d’attaque potentielle pour un cybercriminel. S’ils ont vocation à soutenir à l’apprentissage et à la formation de nos chères têtes blondes, les objets connectés représentent également pour le monde de l’éducation une potentielle menace à la sécurité des données personnelles des élèves.
Dans le cadre de leur politique de sécurité, les établissements scolaires doivent maintenir l’inventaire des appareils connectés, tels que les ordinateurs portables, les smartphones, les tablettes, les assistants personnels, etc. autorisés à se connecter au réseau local sécurisé. Dans ce contexte, tout autre appareil se verra refuser l’accès réseau. Dans la même logique que celles des mises à jour régulières, les responsables de l’informatique des établissements scolaires devront rester attentifs à la révision de la liste des appareils autorisés, ainsi qu’au changement de mot de passe d’accès réseau et de tous les appareils, propriétés de l’établissement.
Pour éviter qu’une attaque de l’ampleur de WannaCry ou Petya ne touche le monde de l’éducation des réflexes simples sont à appliquer. Même si aujourd’hui en matière de cybersécurité, comme à l’école, l’apprentissage se fait en apprenant de ses erreurs.