Les institutions éducatives en Suisse sont de plus en plus souvent la cible de cyber-attaques, qui ont souvent de graves conséquences sur le fonctionnement de l'école. Les conséquences peuvent être graves, en particulier dans le domaine de la protection des données, qui revêt une grande importance dans le secteur de la formation en raison des données personnelles sensibles. Les incidents survenus en Suisse ces dernières années montrent clairement qu'aucune institution ne peut être totalement à l'abri des cyber-menaces. Indépendamment de leur taille ou de leur niveau de sécurité, toutes les écoles ou administrations de l'éducation sont potentiellement exposées à la cybercriminalité.

Dans ce qui suit, nous examinons différents cyber-incidents survenus dans des institutions éducatives suisses et les leçons qui peuvent en être tirées. Notre objectif est de permettre aux établissements éducatifs de mieux comprendre les dangers du monde numérique. Nous souhaitons également fournir des recommandations pratiques sur la manière dont les établissements éducatifs peuvent accroître leur résilience dans le domaine des technologies de l'information et de la communication (TIC).

«  Les organisations ne se distinguent pas par le fait qu'elles sont attaquées ou non, mais par la manière dont elles gèrent une attaque.  »

Thomas Wenk, responsable de la numérisation et de l'informatique DIG-IT, Bâle-Ville, cyber-attaque en janvier 2023

La carte interactive suivante offre une vue d'ensemble de toutes les cyber-attaques dont nous avons connaissance contre des établissements éducatifs en Suisse. Chaque point de la carte représente un cas. Il fournit des informations détaillées sur le type et l'ampleur de l'attaque, ainsi que sur les mesures prises à la suite de l'attaque. Cette visualisation met en évidence la nécessité d'un concept de sécurité de l'information.

Image to Open New Tab

Cliquez sur l'image pour ouvrir le graphique interactif. En cliquant sur les cercles suivants, vous trouverez des informations complémentaires sur les cyber-incidents. Vers le graphique interactif 

Qui sont les agresseuses et les agresseurs?

Les pirates informatiques qui s'attaquent aux institutions éducatives en Suisse sont des cybercriminels qui agissent en premier lieu dans le but d'extorquer de l'argent. Ces cybercriminels pensent en termes économiques. Ils cherchent le moyen le plus simple et le plus efficace d'atteindre leurs objectifs. Au lieu de mener des attaques coûteuses et personnalisées, ils misent souvent sur des méthodes faciles à automatiser. Celles-ci permettent d'attaquer en parallèle une multitude de cibles non spécifiques.

Les attaques sur mesure contre les institutions éducatives sont plutôt rares. Ces «Advanced Persistent Threats (APTs)» sont des attaques ciblées et de longue durée qui visent une organisation spécifique. Ce type d'attaque nécessite des connaissances techniques et des ressources considérables. L'objectif des ces agresseuses et agresseurs est de passer inaperçus dans le système pendant une période prolongée afin de collecter des informations précieuses ou de causer des dommages considérables.

Quelles sont les méthodes d'attaque?

L'une des méthodes les plus courantes est l'envoi de courriels de phishing (voir l'article «Les cybercriminels et leurs modes opératoires»). En témoignent par exemple dans la carte ci-dessus les incidents survenus à l'Université de Fribourg, à l'école de Muri ou chez Educa. Ces courriels contiennent des liens ou des pièces jointes malveillants qui, lorsqu'on clique dessus ou qu'on les ouvre, infectent les systèmes des victimes pour leur voler, entre autres, des données de connexion. L'avantage pour les agresseuses et agresseurs est clair: les courriels de phishing peuvent être envoyés rapidement et à moindre coût. Cela augmente la probabilité qu'au moins une partie des destinatrices et destinataires cliquent sur les liens ou les pièces jointes.

Un autre moyen d'attaque populaire est l'exploitation de failles de sécurité dans des systèmes non mis à jour, par exemple comme dans les attaques contre la commune de Rolle ou le district de March. Ces failles de sécurité sont souvent bien documentées, ce qui permet aux cybercriminels d'exploiter facilement les vulnérabilités. Dans ce cas, il n'est généralement pas nécessaire d'avoir des connaissances approfondies en informatique. En conséquence, cette approche est particulièrement attrayante pour les criminels, car ils peuvent causer un maximum de dommages avec un minimum d'efforts.

Après avoir obtenu l'accès à un système, une personne malveillante tente souvent d'augmenter ses autorisations (gain de privilège). Elle obtient ainsi l'accès à des zones plus sensibles du réseau. Cela peut se faire en exploitant des points faibles ou en volant des données de connexion. Une fois qu'elle a obtenu des autorisations plus élevées, elle se déplace latéralement à travers le réseau (lateral movement) pour compromettre d'autres systèmes. Cette technique permet à l’agresseuse ou l’agresseur de s'ancrer plus profondément dans le réseau et d'obtenir l'accès à des données et des systèmes critiques.

Dans l'étape suivante, l’agresseuse ou l’agresseur peut commencer à crypter les données afin de les rendre inutilisables. Il demande ensuite une rançon pour les décrypter (attaque par ransomware). Une telle stratégie a été suivie par exemple lors des attaques contre les universités de Neuchâtel et du Liechtenstein ou contre les gymnases de Frauenfeld et de Payerne. En outre, des données sensibles peuvent être détournées et l'institution soumise à un chantage à la réputation. C'est la stratégie qu'ont suivie les criminels lors de l'attaque contre le Département de l'éducation de Bâle-Ville.

Enseignements tirés des incidents

La mise en œuvre globale de la sécurité de l'information est la meilleure mesure de protection contre les cyber-attaques. Être bien préparé est donc la mesure la plus importante pour pouvoir réagir efficacement à une cyber-attaque.

«  Avec mes connaissances actuelles en matière de cybersécurité, je vois à quel point il aurait été important de poser les questions qui me semblent évidentes aujourd'hui et d'y répondre à l'époque.  »

Thomas Weber, directeur d'école / chef du département de l'école obligatoire de la commune de Muri, cyberattaque en octobre 2023

Les questions centrales devraient être clarifiées dès l'élaboration du concept informatique. En particulier, les réponses aux questions suivantes devraient être consignées et à portée de main:

  • Les collaboratrices et collaborateurs savent-ils comment se comporter en cas de crise?
  • Qui doit être informé en cas de crise?
  • Quels numéros d'urgence et quelles informations de contact sont nécessaires?
  • Quelles sont les mesures immédiates à prendre?
  • Qui est responsable de la coordination et de la gestion de l'incident?

L'Office fédéral de la cybersécurité (OFCS) déconseille en outre de payer une rançon. Si une institution répond une fois aux exigences des cybercriminels et paie, elle signale que de telles attaques peuvent réussir. Cela augmente le risque que l'institution soit à nouveau la cible d'une attaque ou que d'autres exigences soient formulées. En outre, on finance ainsi d'autres activités criminelles et on contribue à l'amplification du problème. 

Outil d'évaluation de la sécurité de l’information

Notre outil d'évaluation de la sécurité de l’information vous permet de savoir où se situe votre institution en termes d'organisation, de personnes, d'infrastructure et de technique en ce qui concerne la sécurité de l'information. L'évaluation met en évidence les mesures à prendre et formule des recommandations ciblées en vue d'une amélioration.