La cybersécurité, un enjeu grandissant face à la digitalisation des établissements de l’ESR
Alors que les cyberattaques se multiplient dans l’ESR, quels sont les risques et les faiblesses spécifiques des établissements du supérieur ? Comment se protéger au mieux face à cette menace, tout en limitant les coûts ? Tel était le thème du webinaire organisé par Campus Matin et son partenaire Passbolt, le 21 septembre dernier.
Cycle : Campus Matin
Les nombreux cas de cyberattaques dans des établissements du supérieur montrent qu’en dépit de protections renforcées, le risque est toujours présent de subir ransomware ou malveillance gratuite. Quels sont les risques face à cette cybermalveillance ? Quelles stratégies mettre en place pour se protéger ?
Des faiblesses diverses face aux cyberhackers
La gestion des mots de passe
Dans la plupart des organisations, c’est l’humain le maillon faible. Au premier rang de ces faiblesses, figure la gestion des mots de passe.
« 80 % des fuites de données proviennent d’une mauvaise politique en la matière : pas assez longs, complexes ou diversifiés ; rotations insuffisamment fréquentes ; partage d’un utilisateur à la sécurité faible… », pointe Maxence Zanardo, responsable des relations publiques du gestionnaire de mots de passe Passbolt
Hétérogénéité et mobilité des publics
« Nos systèmes ne sont pas évidents à contrôler, du fait de l’autonomie des établissements et de la nécessité d’une recherche ouverte par essence », note Philippe Lahire, vice-président numérique de l’Université de Côte d’Azur.
Autre problématique : l’hétérogénéité des publics (enseignants-chercheurs, étudiants, invités, alumni…), dont beaucoup ont un accès distant.
Robin Adjari, directeur data, innovation-expérimentation et transformation digitale de l’Essec Business School, illustre : « Outre un bon millier de professeurs vacataires, donc extérieurs, nous avons 60 000 alumni, qui gardent tous un e-mail à vie. D’où une absence de contrôle sur notre système utilisateurs. »
Autonomie des composantes
Philippe Lahire ajoute : « Dans une université, il n’y a pas de direction des services informatiques (DSI) ayant la main sur tout, mais bien souvent des services numériques dotés d’une certaine autonomie dans les composantes. D’où une problématique en termes de coordination et de formation. »
Des enjeux de plus en plus criants
« Nous sommes dans une période où les technologies comme l’organisation des personnes malveillantes évoluent très vite, et les organisations doivent suivre », évoque Isabelle Thomas, responsable data au sein du cabinet de conseil Onepoint.
En cas de corruption de données, les établissements courent le risque de pertes financières et stratégiques. Mais pas seulement, observe Robin Adjari. « On entre dans le champ du RGPD, à savoir que si l’on est considéré comme responsable, on s’expose à des amendes, voire plus. Et au-delà de l’obligation légale, la confiance que nous accordent les parties prenantes en nous confiant leurs données nous oblige à être prudents. »
Les bonnes pratiques pour réduire sa « surface d’attaque »
Sensibiliser les utilisateurs au risque de phishing
Les campagnes de phishing de sensibilisation visent à apprendre aux utilisateurs à ne pas cliquer à tort et à travers. Clermont-Auvergne INP en a mené plusieurs, avec un succès relatif.
« Certes, notre taux de clic s’est abaissé de 15 % à 3 %, précise Olivier Bullat, directeur des systèmes d’information de Sigma Clermont et coordinateur SI de Clermont-Auvergne INP. Mais face à une campagne plus ciblée, les taux de clics ont remonté. »
Isabelle Thomas appuie : « Les collaborateurs sont plus sensibles aux campagnes globales, alors même qu’il nous faut organiser des campagnes ciblées par métiers, ce qui n’est pas toujours simple. »
Avoir une gestion aussi sécurisée que possible des mots de passe
À chacun ses solutions. « De plus en plus, nous nous basons sur d’autres politiques de protection, notamment le “no password” », évoque Robin Adjari. Celle recommandée par Maxence Zanardo est, outre l’emploi d’un gestionnaire de mots de passe, l’authentification multifacteurs. Ce qui commence par l’allongement maximal des mots de passe. L’option choisie par Olivier Bullat. « Nous sommes passés à 16 caractères : aujourd’hui, au vu de la puissance des machines, c’est vraiment la longueur qui compte », témoigne-t-il.
Travailler en profondeur sur son système d’information
Robin Adjari préconise de compartimenter au maximum son réseau et de veiller aux mises à jour. « C’est par les systèmes non mis à jour que les hackeurs trouvent des portes dérobées dans les SI », explique-t-il.Il recommande aussi de soigner ses sauvegardes.
Isabelle Thomas appelle à la vigilance des utilisateurs : « Il faut tester régulièrement la restauration en amont, sous peine d’être incapable de s’en servir le jour J », déclare-t-elle.
Bien s’équiper
- En compétences humaines : « Premier équipement à avoir : un responsable de la sécurité des systèmes d’information (RSSI), car il faut savoir employer à bon escient des technologies de plus en plus complexes », pointe Robin Adjari.
- En outils technologiques : Il convient de s’entourer d’outils de détection des vulnérabilités, de supervision… « Des matériels qui peuvent entrer dans un security operation center (SOC) », précise Robin Adjari. Mais aussi d’antivirus de haute technologie, embarquant de l’intelligence artificielle (IA).
Les défis à relever
Miser sur l’interne ou externaliser ?
Beaucoup, à l’instar de Clermont Auvergne INP, ont fait appel à des compétences externes. « Notre stratégie est basée sur une externalisation des logs des PC et serveurs, intégrant des mécanismes d’IA pour détecter plus rapidement des comportements suspects », précise Olivier Bullat.
Une approche décryptée par Isabelle Thomas : « Se munir d’un SOC en interne est onéreux et compliqué en termes d’organisation, car ce sont des serveurs qui doivent tourner et être suivis 24 h/24, 7 jours/7, souligne-t-elle. Par ailleurs, l’intégration d’algorithmes d’IA dans les outils de sécurité n’est souvent optimisée que sur des données mutualisées. »
Autres raisons de se tourner vers l’externe : la guerre des talents, qui grève les possibilités de recrutement, et l’évolution des risques.
« Des sociétés spécialisées seront sans doute plus réactives et capables de se tenir à jour qu’un personnel universitaire dans une DSI », estime Olivier Bullat.
Pour Robin Adjari, « la bonne politique est sans doute de mixer entre des compétences internes (par exemple un RSSI) et un SOC externalisé. »
Comment limiter les coûts ?
« La cybersécurité est peu gourmande en investissements. Ce qui coûte cher, ce sont les coûts récurrents (licences, frais de service…) », déclare Robin Adjari.
Autre casse-tête : les sommes à débourser pour s’entourer des compétences et des outils nécessaires. « Pour une université moyenne, c’est environ 10 % du budget IT, plus de 100 à 150 000 euros par an pour s’assurer une veille informatique continue », pointe Philippe Lahire.
Une problématique bien connue des sociétés expertes. « Les profils les plus recherchés, auditeurs sécurité et pentesters (hackers éthiques), ont des prétentions salariales élevées », note Isabelle Thomas. Et la facture s’envole en cas d’attaque : « Comptez 25 000 euros HT pour l’aide immédiate, puis 15 000 euros par semaine pour l’accompagnement à la reconstruction », témoigne Philippe Lahire.
Il existe toutefois des fourchettes plus abordables.
- D’abord, du fait du début de démocratisation des packages. « Pour un EDR (Endpoint detection and response) avec un service managé par des experts, on commence à voir des offres de base à 20 euros par an et par machine », note Olivier Bullat.
- Ensuite, en se tournant vers les outils open source. « Certains sont entièrement gratuits, et d’autant plus fiables que largement documentés (fonctionnement, retours d’expérience et bonnes pratiques) », détaille Maxence Zanardo.
Intégrer la cybersécurité au cœur de la structure
Il faut avoir une direction managériale qui prenne à bras le corps les enjeux de sécurité, pour les intégrer à chaque étape et pas seulement en bout de chaîne, estime Maxence Zanardo,. « Mais aussi écouter les simples administrateurs système, pour avoir une approche top to bottom et implémenter le cas échéant de nouveaux outils », évoque-t-il.
Une prise de conscience qui s’installe dans les universités, avec la généralisation de la fonction de VP numérique. « Le binôme DSI - VP numérique est important, car il conjugue vision stratégique et d’enseignement avec la vision pratique et managériale », appuie Philippe Lahire.
Nécessité de trouver des compromis
- Entre sécurité et liberté académique. Il faut arriver à agir sans grever les possibilités de connexion des enseignants-chercheurs, sous peine d’être contre-productifs. « Quand vous leur interdisez d’être administrateurs sur leurs machines, ils arguent de leur liberté pédagogique et cherchent des moyens de contournement, ce qui pose un vrai problème », relève Philippe Lahire.
- Sur le plan managérial. Concilier les desiderata de deux profils : les experts à forte compétence, embauchés souvent à prix d’or, et les revendications d’ajustement salariales des titulaires recrutés par concours plusieurs années auparavant.
- Entre sécurité et faisabilité concrète : « Certaines injonctions de l’Agence nationale de la sécurité des systèmes d’information sont irréalisables à l’échelle de nos équipes », regrette Olivier Bullat. Avec à la clé, un grand écart à mener entre les injonctions reçues et un niveau de sécurité raisonnable. « C’est pourquoi nous restons très humbles quand on nous demande si on est sécurisé ou pas », reconnait-il.
Les bons réflexes face à une cyberattaque
L’une des composantes de l’Université de Côte d’Azur a été victime d’une cyberattaque, fin mars 2020. La crise n’a occasionné aucune perte de données. Voici trois conseils du VP numérique de l’établissement.
1. Faire preuve de réactivité. Première réaction à avoir : isoler les machines concernées du réseau, afin que les dommages restent aussi circonscrits que possible.
2. S’entourer de spécialistes. L’établissement a fait appel à des experts de Renater et de l’Anssi. « Nous avons aussi pris contact avec une entreprise spécialisée agréée par cette dernière qui, dès le lendemain de l’attaque, nous a mis à disposition une brigade d’investigation à distance », précise Philippe Lahire.
3. Mener une action de fond pour sécuriser durablement le réseau. Plus loin, il convient d’entamer une recherche approfondie pour comprendre les faiblesses de l’architecture et revoir les points défaillants pour se prémunir d’une attaque ultérieure. « Ce qui a nécessité la mise à l’arrêt de toute l’informatique de la composante pendant environ un mois », précise Philippe Lahire.