La cybersécurité en milieu scolaire

La cybersécurité en milieu scolaire

19 mars 2021

Un article concernant la cybersécurité dans les écoles, l'importance de chaque acteurs et de la prise en conscience des facteurs : menace, vulnérabilité et impact.

La cybersécurité en milieu scolaire

Cet article vise deux objectifs :

-          Poser un éclairage sur la fragilité structurelle du milieu scolaire face aux cyberattaques ;

-          Montrer de manière didactique comment, sans connaissance informatique pointue, on peut avoir une anticipation générale sur un niveau de risque cyber.

Les constats ne portent aucun jugement sur les individus ou les professions.

De manière méthodique, nous allons regarder la combinaison des facteurs de risques : menaces, vulnérabilités, impacts avec in fine des pistes d’atténuation des risques.

La menace :

La source de menace sur l’école lié à la cybercriminalité est équivalent au reste de la société voir moindre si l’on considère qu’une école est moins susceptible de payer une rançon si elle est confrontée à une attaque par rançongiciel.

En revanche, les établissements du secondaire font face à une menace spécifique : certains élèves. L’envie de défier l’autorité par jeu ou par rancœur peut être une source de motivation. Les compétences élémentaires sont facilement accessibles en navigant sur internet. Le goût de la recherche de failles est largement développé par la pratique du jeu vidéo. Au bilan, l’intention et la capacité sont aisément réunies.

Le niveau de la menace représentée par ces acteurs est donc élevé.

La vulnérabilité :

La solitude des établissements pour prévenir ce risque est un premier facteur. Si tous les acteurs sont de bonne volonté, la répartition des rôles entre académies, qui gèrent le fonctionnement, et collectivités qui fournissent des moyens sont mal définis. En interne, un professeur se trouve souvent désigné comme administrateur réseau sans avoir la connaissance de bases en matière de sécurité.

La connaissance des règles d’hygiène informatique par le corps enseignant est aussi faible que dans le reste de la société. La vulnérabilité est accrue par l’absence de séparation des usages professionnels et personnels : les transgressions des règles de base sont donc nombreuses, comme partout….

A ces failles organisationnelles et humaines, s’ajoutent les failles techniques puisque l’on constate dans ce milieu une plus grande vétusté du parc avec l’utilisation de système non maintenus comme Windows XP pour les enseignements. En revanche, on peut considérer que les portails métiers mis en place par le ministère sont à priori robustes.

Le niveau de vulnérabilité du milieu scolaire est donc fort.

L’impact :

Tout événement qui touche l’école a forcément un impact fort.

D’un point de vue juridique, comme les opérations concernent des mineurs les exigences réglementaires liées au RGPD sont fortes.

Une paralysie des systèmes où l’intrusion dans un système d’évaluation sur un établissement scolaire fait l’objet d’une couverture médiatique forte, au moins au niveau local. Le nombre de personnes impliquées est par nature élevé.

L’impact psychologique sur les acteurs pédagogiques, parents d’élèves et corps enseignant, est systématiquement élevé.

Evidemment, une cyberattaque ne remet pas l’existence de l’établissement en jeu mais elle engendre des difficultés fortes à surmonter.


Au bilan, la conjugaison des facteurs « menace, vulnérabilité et impact » met en évidence une forte exposition au risque du milieu scolaire.

Le niveau de menace est amené à augmenter puisque les outils malveillants sont de plus en disséminés et que les compétences du côté des attaquants potentiels augmentent.

L’impact peut être réduit par l’anticipation des événements redoutés au niveau de la direction des établissements. Cependant, compte tenu des agendas chargés des cadres de l’école et des nombreuses responsabilités qu’ils ont à assumer, il semble qu’une aide de l’extérieur soit nécessaire à travers une fonction de RSSI scolaire mutualisé à un territoire.

Sur le volet « vulnérabilité », un long chemin reste à parcourir. La répartition des rôles entre académies et collectivités mérite d’être éclaircie.

Dans l’offre de formation continue des professeurs, il convient de créer deux formations :

-          Une formation dédiée au responsable informatique en école qui pourrait s’inspirer en partie du contenu du parcours « référent cybersécurité en TPE/PME » ;

-          Une sensibilisation de l’ensemble des professeurs.

D’un point de vue technique, il convient de s’interroger sur :

-          La configuration technique des postes mis à disposition des élèves dans le cadre des enseignements ;

-          La segmentation des réseaux dans l’école selon les usages « direction », « administration » et « enseignement » ;

-          La mise en place de solutions qui permettent aux enseignants de travailler à domicile en bénéficiant d’un niveau de sécurité élevé.

Augmenter le niveau de sécurité des systèmes d’informations dans les écoles passe enfin par l’imposition des règles d’hygiène informatiques aux élèves : ce développement d’une culture de la cybersécurité aurait nécessairement un impact positif sur la société tout entière.

Liste des marques

Références

Gardons le cap face aux cybermenaces

Information

  • 7 rue du commandant Malbert

    29200

    BREST