Eva le Floch – OAKland Group et Jacques Izart – Assurwest
Ces derniers mois, les hackers n’ont cessé d’attaquer des établissements d’enseignement supérieur publics ou privés. Ce secteur d’activité n’est pas choisi au hasard, la multitude de données personnelles stockées, de comptes utilisateurs créés, ou encore de sites physiques, font de lui, une cible de choix pour les pirates informatiques.
Une journée pas comme les autres…
Jeudi 24 décembre 2020, pendant que la majorité des français s’apprête à réveillonner, alors que tout est prêt pour assurer les partiels des étudiants les semaines suivantes, un responsable d’une grande école commerce se connecte au portail de l’établissement pour une dernière vérification. Petit problème technique… Impossible de se connecter… Pas d’inquiétude, il contacte son DSI en plein préparatifs des fêtes de fin d’année. Ce dernier, jetant un dernier regard à la cuisson de sa dinde, tente parallèlement de résoudre le problème, et là c’est la panique : l’école est victime d’une cyberattaque ! Les serveurs sont bloqués, inutilisables. Plus de données étudiantes, plus de planning, plus de supports de formation, etc.
Que faire ? Comment rétablir les serveurs ? Comment accéder aux données ? Quels moyens humains déployer, alors que la quasi-totalité de l’équipe informatique est en congés ? Avons-nous un process interne à appliquer dans ce type de situation ? Doit-on communiquer auprès de nos étudiants, de nos intervenants, de nos collaborateurs, qui communique et comment ?
Voilà tant de questions qui viennent à l’esprit mais qu’il est finalement trop tard de se poser, car il est impératif de pouvoir réagir rapidement.
Un cas isolé ?
En novembre 2021, un groupe d’établissements d’enseignement supérieur a fait l’objet d’une cyberattaque avec ransomware (demande de rançon), le groupe a dû couper l’accès internet de tous ses sites, le temps de gérer l’incident. Certains sites web sont restés indisponibles pendant plusieurs jours générant mécontentements et demandes de remboursement des frais de scolarité.
En février 2022, une école d’ingénieur a également subi une cyberattaque de grande ampleur, affectant les activités informatiques de l’établissement pendant plusieurs heures.
Une plateforme d’enseignement à distance a également subi une cyberattaque d’une durée de 3 jours rendant impossible l’accès aux cours en ligne pour des millions d’élèves.
Dans les exemples cités ci-dessus, on retient essentiellement les interruptions de l’activité plus ou moins longue engendrées par les cyberattaques. Mais il est important d’avoir en-tête qu’une cyberattaque peut coûter très cher à l’établissement. Outre les coûts directs nécessaire au nettoyage et au rétablissement des systèmes informatiques, il faut ajouter tous les coûts indirects, tels que :
- Les frais de notifications et amendes imposées par la CNIL ;
- Les frais de reconstitution des données (quand il est possible de les récupérer !)
- Les pertes d’exploitation ;
- Les frais juridiques de poursuites ;
- Les frais de communication ;
- La perte de valeur de la marque ;
- La perte de la propriété intellectuelle (recherche académique) ;
Le PONEMON Institute estime que le coût moyen d’un sinistre cyber en France est de 150€ par dossier compromis (coûts directs + indirects).
Pour un établissement de 3000 étudiants, on vous laisse faire le calcul ?
Le contexte
Les établissements d’enseignement supérieur représentent des cibles très intéressantes. Ils disposent en effet, de nombreuses données personnelles, comme les adresses, les numéros de téléphone, les résultats scolaires, ou encore les informations financières des étudiants, ou de leurs répondants financiers. Leurs serveurs sont également largement convoités pour la partie ingénierie pédagogique ou la recherche académique de haut niveau.
A cet état de fait, est venu s’ajouter la crise sanitaire de la Covid-19 qui a donné lieu à une transformation forcée et accélérée des modes d’enseignement, passant ainsi la formation en présentiel en modèle, parfois 100% distanciel, parfois hybride, impliquant inévitablement une vulnérabilité accrue des systèmes informatiques.
Malgré la menace réelle qui pèse sur les établissements d’enseignement supérieur, très peu d’entre eux semblent prendre la mesure du risque encouru et des impacts qu’une cyberattaque pourrait avoir sur leur organisation.
Comment limiter les risques ?
S’il n’existe pas de solution miracle permettant d’éradiquer tout risque de cyberattaque, il est pourtant très important de s’y préparer afin d’en minimiser les impacts et les coûts.
Voici donc quelques préconisations :
- Prévoir des actions de sensibilisation et de formation des salariés aux cyberattaques ;
- Réaliser un audit du niveau de sécurité du système d’information (comprenant les tests de sauvegarde) ;
- Définir un plan stratégique IT robuste ;
- Définir des procédures internes claires pour gérer ce type d’incident (PCA/PRA) ;
- Mettre en place une cellule de gestion de crise, afin de savoir précisément en cas d’incident qui contacter et ainsi gagner un temps précieux ;
- Souscrire une cyber assurance
Et, pour vous rassurer, notre DSI des premières lignes a pu profiter de sa dinde car son établissement était particulièrement bien préparé à réagir à une cyberattaque. Pour aller plus loin : www.oaklandgrp.com/cyberassurance/
En partenariat avec :
Courtier en assurances d’entreprises, spécialiste de la protection des personnes, des biens et des responsabilités, Assurwest propose une offre sécurisante et des solutions sur mesure pour vous accompagner durablement. Assurwest réalise pour vous les appels d’offres auprès des différents organismes d’assurances.
Cyber attacks: Higher education in the firing line
Eva le Floch – OAKland Group and Jacques Izart – Assurwest
In the last few months, hackers have kept up their attacks on public and private higher education establishments.This business sector is not chosen at random. The large volumes of personal data that are stored, plus the many user accounts and physical sites, make it a prime target for hackers.
A day unlike any other…
Thursday, 24 December 2020. As most people in France are getting ready to celebrate Christmas Eve, and with the preparations already made for the students’ midterm exams over the following weeks, a manager at a large business school goes to log on to the school’s portal for one final check. Only there’s a small technical problem. He’s unable to connect. Still, no cause for alarm. He contacts his IT director, who’s right in the middle of preparing for the holiday season. The IT director tries to solve the problem, while checking on his turkey in the oven one last time. And then… panic stations! The school is under a cyber attack! The servers are inaccessible. Unusable. No more student data, no more planning, no more training materials, etc.
What do we do? How do we get the servers back up? How do we access the data? What human resources do we need to deploy, at a time when practically the whole IT team is on leave? Do we have an internal process that we can apply in this type of situation? Do we need to communicate with our students, our maintenance people or our members of staff? Who handles communication, and how?
These are all questions which come to mind. But it’s too late to be asking them now, since we need to be able to react fast.
An isolated case?
In November 2021, a group of higher education establishments was the target of a cyber attack involving ransomware (i.e. a ransom demand). The group had to shut down Internet access to all its sites while the incident was being dealt with. Some websites were unavailable for several days, causing dissatisfaction and resulting in requests for reimbursement of tuition fees.
In February 2022, an engineering school was also subjected to a major cyber attack, affecting the school’s IT operations for a period of several hours.
A distance learning platform was also the target of a three-day cyber attack which prevented millions of students from accessing its online courses.
What strikes us in those examples is that the cyber attacks caused business interruptions of varying durations. But it is important to bear in mind that a cyber attack can be very costly for the establishment. As well as the direct costs of cleaning up and recovering the IT systems, there are also indirect costs, such as:
- costs of notifications and fines imposed by the CNIL;
- data reconstruction costs (when the data can be recovered!)
- operating losses;
- costs of legal action;
- communication costs;
- loss of value for the brand;
- loss of intellectual property (academic research);
PONEMON Institute estimates the average cost (comprising both direct and indirect costs) of a cyber incident in France at €150 per compromised file.
Shall we leave you to work out the cost for an establishment with 3,000 students ?
The context
Higher education establishments make very appealing targets. They hold a lot of personal data, such as addresses, phone numbers, academic results, or financial information concerning students or fee payers. Their servers are also much in demand for their pedagogical engineering or high-level academic research content.
Additionally, the COVID-19 health crisis has led to a forced and accelerated transformation in teaching methods, moving away from classroom training towards a hybrid or even a 100% remote model. This inevitably results in increased vulnerability of IT systems.
Despite the real threat to higher education establishments, very few seem to appreciate the full extent of the risk involved and the impact that a cyber attack could have on their organisation.
What can be done to limit the risks?
Although there is no miracle solution that eradicates the risk of cyber attacks altogether, it is very important to prepare for them, in order to keep their impact and the resulting costs to a minimum.
Here are some recommendations:
- Arranging staff awareness and training sessions on the subject of cyber attacks;
- Performing an audit of the IT system’s security level (including backup tests);
- Defining a robust IT strategic plan;
- Defining clear internal procedures for managing this type of incident (BCP/DRP[i]);
- Forming a crisis management unit, so that you know exactly who to contact in the event of an incident, thus saving precious time;
- Taking out a cyber insurance policy
To return to the story of our front-line IT director, we’d like to reassure you that his establishment was particularly well prepared to respond to a cyber attack, and he managed to enjoy his turkey after all.
For more information, please visit: www.oaklandgrp.com/cyberassurance/
[i] Business continuity plan, Disaster recovery plan (N.d.T)