Les établissements d'enseignement supérieur sont confrontés à un déluge constant de cyberattaques. Suite à un incident en 2015, Kevin Morooney - ancien vice-provost pour la technologie de l'information à la Pennsylvania State University - a dit au New York Times que Penn State a fait face à une moyenne de 20 millions d'attaques par jour, un montant «typique pour une université de recherche».

En commençant par un petit échantillon des effets financiers que de telles menaces peuvent avoir, la société de criminalistique numérique et de cybersécurité LIFARS a estimé en un rapport 2016 que les attaques de Spear Phishing - conçues pour infiltrer une organisation et voler des informations sensibles, souvent par e-mail - coûtent en moyenne 1,8 million de dollars aux entreprises par incident. Dans un rapport 2017 , Cybersecurity Ventures a prédit que les attaques impliquant des ransomwares - qui menacent de voler, de bloquer ou de publier les données d'une victime à moins qu'une rançon ne soit payée - causeraient environ 5 milliards de dollars de dommages en 2017, contre 325 millions de dollars en 2015.

L'enseignement supérieur avait le taux le plus élevé d'attaques de ransomwares parmi toutes les industries étudiées dans un rapport 2016 publié par BitSight (une société de gestion des cyber-risques), et le deuxième taux le plus élevé Rapport BitSight 2017 . En conséquence, les universités travaillent 24 heures sur 24 pour renforcer leurs défenses contre ces pertes potentielles importantes. Comme Kim Milford, directeur exécutif du Research and Education Networking Information Sharing and Analysis Center à Indiana University l'a dit dans une pièce 2016 écrit par le Center for Digital Education, les universités sont désormais «enfermées dans une course aux armements coûteuse» alors qu'elles explorent de nouvelles façons à la fois de combattre les attaques actuelles et d'essayer de garder une longueur d'avance sur les attaques à venir. Que les cyberattaques réussissent ou non, dit Milford, elles représentent un problème coûteux et toujours présent que les universités sont obligées de résoudre.

Peut-être encore plus importantes que les pertes financières potentielles, les cyberattaques constituent une grave menace pour la réputation d’une université et la sécurité de ses étudiants.

Mais les risques posés par les cyberattaques vont au-delà des pertes financières pour le monde de l'enseignement supérieur. En effet, les collèges et les universités hébergent un énorme volume de données sensibles, des numéros de sécurité sociale des étudiants à la propriété intellectuelle précieuse, qui, si elles sont volées ou compromises, pourraient causer des dommages importants bien au-delà des murs de l'académie. Peut-être encore plus importantes que les pertes financières potentielles susmentionnées, les cyberattaques constituent une grave menace pour la réputation d’une université et la sécurité de ses étudiants.

Bien que les menaces évoluent constamment, les collèges et les universités doivent continuer d'investir à la fois dans les talents et l'infrastructure nécessaires pour relever les défis de la cybersécurité à l'avenir. Cet article mettra davantage en lumière l'importance de développer une expertise en cybersécurité pour les établissements d'enseignement supérieur et proposera des stratégies pour relever ces défis. En commençant par un examen des raisons pour lesquelles les collèges et les universités sont particulièrement vulnérables aux cyberattaques, nous chercherons à comprendre les stratégies utilisées par les attaquants pour exploiter ces vulnérabilités et arriver à un ensemble de recommandations conçues pour mieux équiper les collèges et les universités pour faire face aux cybermenaces à l'avenir.

Pourquoi l'enseignement supérieur est-il vulnérable?

Alors que pratiquement toutes les grandes industries sont confrontées à des défis importants en matière de cybersécurité, l'enseignement supérieur est particulièrement vulnérable pour un certain nombre de raisons clés.

L’une d’entre elles est liée à la culture unique du monde universitaire, qui se targue d’un degré d’ouverture et de transparence qui manque à la plupart des industries. Comme Fred Cate, directeur du Indiana University Center for Applied Cybersecurity Research, l'a expliqué dans un article UniversityBusiness de 2013 , les collèges et les universités ont toujours concentré leurs efforts pour s'assurer que «nos professeurs, nos étudiants, notre public et nos donateurs [puissent] se connecter assez facilement avec nous». Cela a rendu les réseaux informatiques des collèges et universités, selon l'article, «aussi ouverts et invitants que leurs campus».

Une autre raison est liée à l'histoire - en particulier, depuis combien de temps les collèges et les universités sont en ligne. Alex Heid, directeur de la recherche chez SecurityScorecard (une société tierce de gestion des risques) a déclaré dans un article EducationDIVE 2016 que les universités ont toujours été la principale cible des cyberattaques, en grande partie parce que «les universités ont été l'un des premiers endroits à avoir accès à Internet, et avec l'accès à Internet, les gens essaient de voir jusqu'où cela peut aller.» Du fait d'avoir eu accès à Internet pendant une période relativement longue, les collèges et les universités sont depuis longtemps des cibles visibles, et leurs faiblesses sont donc probablement très bien connues et comprises par les cyberattaquants.

Les cyberattaquants utilisent des technologies et des méthodes de pointe pour exploiter des systèmes universitaires qui sont, dans certains cas, terriblement dépassés et dépassés.

Étant donné que les collèges et les universités ont adopté si tôt les outils et interfaces numériques (et en raison de problèmes financiers et autres problèmes pratiques), de nombreux établissements d'enseignement supérieur s'appuient encore sur des systèmes hérités qui sont particulièrement vulnérables aux attaques. 'De nombreux collèges utilisent des trucs qui ont été écrits il y a des années', a déclaré Heid dans l'article susmentionné. En termes simples, les cyberattaquants utilisent des technologies et des méthodes de pointe pour exploiter des systèmes universitaires qui sont, dans certains cas, terriblement dépassés et dépassés.

techniques d'optimisation des requêtes du serveur sql

Plus précisément, les systèmes informatiques des universités se caractérisent souvent par une construction décentralisée et, selon Heid, aléatoire, que les attaquants peuvent facilement exploiter. Dans un Billet de blog 2017 pour la société de gestion des risques de données et de logiciels Code42, Ashley Jarosch note que même s'il peut être logique d'un point de vue opérationnel pour les départements individuels de fonctionner sous leurs propres structures informatiques (le département d'astrophysique d'une université aura probablement, écrit-elle, des besoins technologiques différents de ceux d'une université. département de la littérature, par exemple), ce type de configuration fragmentaire crée des vulnérabilités claires en matière de sécurité de l'information. 'Dans une douzaine (ou des dizaines de) départements, il y a de fortes chances qu'au moins un ait une combinaison d'appareils obsolètes et d'un système d'exploitation non corrigé, un filtrage des e-mails et un antivirus inadéquats, une sauvegarde des données défectueuse ou une formation et une politique des utilisateurs insuffisantes', écrit Jarosch.

Bien qu'il ne s'agisse pas d'un problème spécifique à l'enseignement supérieur, la pénurie de talents en cybersécurité représente un obstacle important que les collèges et universités doivent surmonter pour résoudre les problèmes mentionnés ci-dessus. UNE étude récente menée par le cabinet de conseil Frost & Sullivan prévoit qu'il y aura 1,8 million d'emplois non pourvus en cybersécurité d'ici 2020, et que cette pénurie de talents existe à l'échelle mondiale, près de 70% des professionnels dans le monde affirmant qu'il y a trop peu de travailleurs en cybersécurité dans le personnel. La demande de talents en cybersécurité dépassant de loin l'offre, les entreprises paient souvent le prix fort pour leur expertise en cybersécurité. Cela met probablement les collèges et les universités dans une situation désavantageuse lorsqu'ils tentent de détourner ces talents des emplois bien rémunérés du secteur privé chez Alphabet, Facebook, etc.

Avec une compréhension des raisons qui sous-tendent les vulnérabilités de cybersécurité de l'enseignement supérieur, nous pouvons maintenant explorer les façons dont ces vulnérabilités sont exploitées.

Comment les attaquants exploitent les vulnérabilités

Les acteurs néfastes utilisent un large éventail de tactiques et d'outils lorsqu'ils lancent des cyberattaques. Deux des méthodes de ce type les plus courantes sont décrites ci-dessous. Bien que cette liste ne soit en aucun cas exhaustive, ni propre aux collèges et universités, elle fournira une meilleure compréhension de la manière exacte dont les pirates informatiques visent à exploiter les lacunes de la cybersécurité et se révélera utile pour déterminer la meilleure façon d'arrêter de telles attaques.

Injections SQL: Décrit par certains en tant que «sans doute le problème le plus grave auquel sont confrontées les applications Web», les injections SQL (SQLi) sont, en termes simples, des attaques conçues pour contourner les protections par mot de passe en exploitant les bases de données qui sous-tendent certaines applications. SQL (Standard Query Language) est un langage qui gère et communique avec les bases de données. Les injections SQL fonctionnent en exploitant les faiblesses du code sous-jacent aux pages d'entrée (telles que les pages de connexion de nom d'utilisateur et de mot de passe, par exemple) et en forçant une base de données donnée à renvoyer des informations sensibles. Par exemple, face à une page de connexion avec un nom d'utilisateur et un mot de passe, un attaquant peut saisir («injecter») une portion de code SQL dans la section mot de passe. Si le code de la base de données sous-jacente est vulnérable, ce code SQL pourrait modifier la base de données sous-jacente et forcer l'application contrôlée par la base de données à autoriser l'accès du pirate.

Les collèges et les universités ont une myriade d'applications en ligne protégées par mot de passe, des rapports de notes des étudiants aux informations sur l'emploi des professeurs, qui pourraient théoriquement être divisées en utilisant des injections SQL. Une de ces attaques sur l'enseignement supérieur est intervenu en février 2017, lorsqu'un hacker ou un groupe de hackers russes a utilisé des injections SQL pour voler des données à des dizaines de collèges et universités américains, dont l'Université Cornell et l'Université de New York. Tant que les établissements d'enseignement supérieur continueront d'avoir des faiblesses inscrites dans leurs bases de données sous-jacentes, les injections SQL resteront probablement courantes et trop faciles à employer pour les pirates.

Hameçonnage: Comme mentionné au début de cet article, les attaques de phishing sont caractérisées par des e-mails ou des pages Web conçus pour inciter les utilisateurs à saisir des données sensibles, telles que des mots de passe ou des informations de carte de crédit. Le bureau de la sécurité de l'information de l'Université de Princeton fournit un aperçu utile de la façon dont ces attaques se manifestent généralement:

«En règle générale, le phisher envoie un e-mail à un grand groupe d'individus dont il a capturé les adresses à partir de carnets d'adresses et de sites Web sur Internet. Le message, généralement bien conçu et d'apparence officielle, peut prétendre provenir d'une institution financière, d'un fournisseur de services ou de toute autre organisation connue du destinataire ... Souvent, le destinataire est invité à fournir les informations en cliquant sur un lien de site Web dans le courriel. Mais si le lien vers le site Web peut sembler légitime, le lien qui s'affiche n'est pas nécessairement le site que vous visitez lorsque vous cliquez dessus. »

30% des utilisateurs du secteur de l'éducation ont chuté pour des escroqueries par hameçonnage se présentant comme des communications d'entreprise, soit le double du taux de la population générale, l'année dernière.

Les attaques de phishing peuvent avoir un large éventail d’objectifs ultimes, du vol de données utilisateur à l’installation de ransomwares sur l’ordinateur de la victime et à l’obtention de paiements financiers. Bien que ces attaques puissent sembler évidentes et faciles à éviter, des études ont montré qu'une grande majorité d'entreprises ont été victimes d'escroqueries par hameçonnage. Le secteur de l'éducation s'est révélé particulièrement vulnérable, car Wombat Security - une société de logiciels dédiée à aider les entreprises à lutter contre les attaques de phishing - un rapport 2017 que 30% des utilisateurs du secteur de l'éducation ont cliqué sur des escroqueries par hameçonnage se présentant comme des communications d'entreprise, soit le double du taux de la population générale, l'année dernière.

Si les tactiques mentionnées ci-dessus se sont avérées efficaces, nous verrons qu'elles peuvent être évitées.

Comment prévenir les attaques: un meilleur code et une plus grande vigilance

Un certain nombre de stratégies existent pour lutter contre les cyberattaques décrites ci-dessus. Certains impliquent des stratégies que les professionnels de l'informatique de l'enseignement supérieur doivent utiliser eux-mêmes, tandis que d'autres impliquent des stratégies que tous les membres de la communauté de l'enseignement supérieur, y compris les utilisateurs finaux, doivent mettre en œuvre:

Arrêt des attaques SQLi via des instructions préparées, des procédures stockées et la validation des entrées

On a beaucoup écrit sur la façon de prévenir les attaques par injection SQL, et le consensus est que cela n'est peut-être pas particulièrement difficile. L'Open Web Application Security Project (OWASP) fournit un aperçu de la façon d'éviter les attaques SQLi . OWASP cite trois stratégies principales pour ce faire:

Déclarations préparées : Les collèges et universités devraient construire leurs bases de données sous-jacentes avec des déclarations préparées. Comme le dit OWASP, «Les instructions préparées garantissent qu’un attaquant ne peut pas modifier l’intention d’une requête, même si des commandes SQL sont insérées par un attaquant.» Essentiellement, les instructions préparées peuvent rendre les commandes SQL se présentant comme des données d'entrée utilisateur (noms d'utilisateur et mots de passe) impuissantes.

Procédures stockées : Selon OWASP, les procédures stockées peuvent avoir le même effet que les instructions préparées, la principale différence étant que «le code SQL d'une procédure stockée est défini et stocké dans la base de données elle-même, puis appelé depuis l'application». Comme OWASP et autres ont écrit, des procédures stockées peuvent ne pas toujours être appropriées pour la défense contre les attaques SQLi, mais représentent une option viable pour les collèges et les universités lorsqu'elles sont écrites et mises en œuvre correctement.

Validation d'entrée : Les attaques par injection SQL exploitent des applications et des bases de données qui ne font pas de références croisées et ne valident pas les données entrées. Une étape logique pour empêcher ces attaques est donc de s'assurer qu'une base de données en cours de construction nécessite une validation d'entrée. Microsoft cite également la validation des entrées comme technique clé pour éviter les attaques SQLi dans son modèle de développement Web ASP.net.

Prévention du phishing grâce à la formation et à la suspicion accrue

Contrairement à la prévention des attaques SQLi, qui peut être effectuée via des correctifs techniques internes, la prévention des escroqueries par hameçonnage repose en grande partie sur les utilisateurs finaux - professeurs, personnel et étudiants. Les collèges et les universités doivent prendre plusieurs mesures pour s'assurer que tous les utilisateurs finaux restent vigilants:

Filtres de messagerie: Dans un premier temps, les établissements d'enseignement supérieur et les universités doivent configurer des filtres de messagerie qui envoient des e-mails non universitaires suspects vers le dossier de spam d'un utilisateur. Bien que ce soit loin d'être une solution infaillible, c'est une première étape importante qui peut empêcher les e-mails malveillants d'atteindre leurs cibles.

Campagnes de formation et de sensibilisation: Les collèges et universités devraient exiger des utilisateurs finaux qu'ils suivent une formation qui couvre ce qu'est le phishing et comment le reconnaître. Il existe des entreprises dédiées à fournir ce service, et les établissements d'enseignement supérieur doivent être prêts à investir le temps et les ressources nécessaires pour former correctement leurs facultés et leur personnel. Comme un article dans le magazine Infosecurity souligne que cette formation doit être répétée de manière relativement régulière et doit exposer les utilisateurs à un large éventail d'attaques de phishing. Fournir des exemples d'attaques réelles et créer un référentiel pour de telles attaques, comme l'Université de Princeton l'a fait avec son ' Bol de phish »Peut également renforcer la sensibilisation.

«Éduquer nos clients en termes d’informatique sécurisée est l’un des plus grands bénéfices.»

Sasi Pillay, vice-président des services des technologies de l'information et directeur de l'information à l'Université de l'État de Washington, déclare que lui et son équipe organisent un mois annuel de sensibilisation à la cybersécurité et ont cherché à créer une «culture de la cyber-sensibilisation» générale pour lutter contre le phishing - le numéro de l'université un problème de cybersécurité. «Éduquer nos clients en termes d'informatique sûre apporte l'un des plus gros bénéfices», déclare Pillay.

Bien que les stratégies énumérées ci-dessus ne soient pas complètes et n'empêchent peut-être pas toutes les attaques, elles représentent des étapes relativement simples qui peuvent apporter des avantages significatifs dans la lutte de l'enseignement supérieur contre les cybermenaces potentielles.

Les clés d'un avenir sûr

Comprendre les vulnérabilités, le fonctionnement des cyberattaques courantes et la manière de prévenir de telles attaques est fondamental pour créer un avenir plus sûr - et financièrement stable - pour l'enseignement supérieur. Pourtant, les cybermenaces évoluent constamment et il n'y a aucune garantie que les menaces auxquelles nous sommes confrontés aujourd'hui (et les stratégies pour les atténuer) ressembleront à celles qui vont de l'avant.

Pour Sasi Pillay, la solution à long terme de la cybersécurité doit inclure des changements fondamentaux dans la façon dont les logiciels sont écrits et conçus.

«Mon rêve, ma vision à long terme est de pouvoir faire de l'informatique sécurisée dans un environnement compromis», déclare Pillay. «Ce que nous devons faire, c'est changer considérablement la façon dont nous écrivons les logiciels aujourd'hui. Le développement logiciel doit être renforcé pour que les gens prennent en compte les risques et les expositions de sécurité. »

Une autre clé pour relever les futurs défis de la cybersécurité, mentionnée brièvement dans cet article, consiste à employer une équipe solide et stable d'experts dans le domaine. C'est, bien sûr, plus facile à dire qu'à faire, car les budgets universitaires sont serrés et les talents rares. Pourtant, il existe un certain nombre de façons de contourner ce problème, y compris l'embauche de pigistes experts et ceux qui sont prêts à travailler à distance.

Bien que les défis de cybersécurité auxquels l'enseignement supérieur soit confronté soient considérables et que le coût de leur résolution soit élevé, les risques financiers et de réputation potentiels associés à une défense insuffisante sont probablement encore plus élevés. Les établissements du paysage de l'enseignement supérieur peuvent constater que des solutions de cybersécurité efficaces peuvent en fin de compte s'autofinancer.