Les établissements scolaires sont une cible de choix pour les cyberattaquants. Malgré des avancées et une mobilisation en écosystème des différents acteurs, des disparités freinent encore une réponse coordonnée.
C’était en début d’année. Des centaines d’alertes à la bombe perturbaient les collèges et lycées à travers la France. 2 700 établissements étaient alors ciblés. Dans l’immense majorité des cas, ces menaces étaient envoyées par mail, mais 15 % d’entre elles étaient liées à des intrusions dans les systèmes d’information (SI). « Les comptes d’accès ont été subtilisés sur des ordinateurs personnels de ceux qui se connectent », a constaté Nicolas Eslous, fonctionnaire de sécurité des systèmes d’information (FSSI) au sein du ministère de l’Éducation nationale. Mais, au-delà de ces événements spécifiques, qui se sont étalés sur quelques semaines, l’institution est fréquemment victime d’attaques plus classiques comme le phishing, les rançongiciels ou les dénis de service (DDoS).
En région Grand Est, les DDoS « sont permanents », confie Raphaël Régnier, directeur du numérique de la région, devant une assemblée de membres du secteur de l’éducation, au salon de l’innovation éducative EducaTech. Près de 1,3 million d’incidents cyber sont comptabilisés au sein de la collectivité, dont 800 nécessitent une qualification plus étendue. « C’est une croissance forte », poursuit-il, alors qu’un SOC (Security Operations Center) a été mis en place pour bloquer les attaques et près de 95 % des mails envoyés aux membres de la région Grand Est. « Les cyberattaquants cherchent à déstabiliser les entités et à nuire aux missions de service public », précise Marion Lehmans, coordinatrice sectorielle enseignement et recherche à l’Anssi (Agence nationale de la sécurité des systèmes d’information). Ces « petits » attaquants ont une capacité de nuisance très importante, que ce soit pour les utilisateurs, les élèves ou le personnel académique. « Ces profils ont très peu de moyens et ne sont pas très organisés », explique Marion Lehmans. « Pour autant, ils savent exploiter des données peu protégées par les utilisateurs. »
Un déséquilibre entre les collectivités
Plusieurs réglementations, tant européennes que françaises, visent à diffuser des standards auprès d’entités souvent prioritaires sur le plan du risque. « Je salue la régulation décomplexée, qui doit permettre à l’ensemble des acteurs de prendre ces sujets en main », lance Raphaël Régnier de la région Grand Est. « Il y a une responsabilité forte de clarifier les règles du vivre-ensemble numérique pour atteindre cet objectif », poursuit-il. L’Éducation nationale avance également sur ce sujet, notamment grâce à l’interface utilisée entre les élèves et les professeurs dans les collèges et lycées : Pronote. L’hébergement de cette plateforme a été labellisé SecNumCloud, la plus haute certification délivrée dans le secteur du cloud en France.
Mais cette vague de régulation signifie-t-elle que les collectivités sont suffisamment armées techniquement pour faire face à ces enjeux de cybersécurité ? « Toutes les collectivités ne sont pas en capacité de faire une homologation », constate Raphaël Régnier, DSN de la région Grand Est. « Certaines régions ne sont pas encore raccordées à EduConnect », ajoute Nicolas Eslous du ministère de l’Éducation nationale. Cette plateforme, mise en place par l’État, centralise la vie scolaire des élèves, des démarches administratives à la gestion quotidienne. « Il faut se parler et se coordonner », insiste-t-il, alors qu’un grand plan de décentralisation a été lancé en 2022, avec un cadre technique à destination des collectivités locales.
Les ENT (espaces numériques de travail) sont des écosystèmes regroupant divers acteurs, qui bénéficient de communs numériques variés. « Dans ces écosystèmes, la responsabilité repose sur plusieurs acteurs », souligne Raphaël Régnier. En effet, l’homologation d’un ENT ne dépend pas uniquement de l’homologation d’une collectivité. Il en résulte une interdépendance entre les acteurs. « Le maillon faible fait peser un risque sur l’ensemble du groupe. Nous sommes collectivement responsables de cette montée en puissance », insiste le DSN du Grand Est, avant d’ajouter : « Ce qui est difficile, c’est d’obtenir de la transparence sur le niveau d’homologation de tous les acteurs. » Ainsi, un risque persiste pour les ENT en raison des disparités dans l’avancement des régions ou des départements en matière de sécurité.
« On réfléchit à des règles communes d’urgence à mettre en place. C’est de la concertation », indique Nicolas Eslous, qui revient sur la crise des alertes à la bombe ayant secoué l’institution en début d’année 2024. « Cette concertation n’est pas simple à organiser lorsque des centaines d’établissements sont ciblés chaque jour. » Mais le FSSI du ministère de l’Éducation nationale se félicite de la réponse collective mise en œuvre durant cette période, où l’urgence était de renforcer l’arsenal cyber tout en assurant le bon déroulement des examens de fin d’année. Une réussite, selon lui.