La récente cyberattaque visant Canvas, le système de gestion de l'apprentissage utilisé par des milliers d'écoles et d'universités dans le monde entier, nous rappelle une fois de plus que le secteur de l'éducation est en pleine mutation. l'éducation est l'une des cibles les plus attrayantes pour les cybercriminels. L'attaque, liée au groupe d'extorsion ShinyHunters, aurait touché des institutions dans plusieurs pays et exposé des quantités potentiellement importantes de données sur les étudiants et le personnel.
Pour de nombreux établissements d'enseignement, les perturbations sont allées bien au-delà du simple désagrément. Les cours ont été interrompus, les portails sont devenus inaccessibles, les examens ont été retardés et les établissements ont été contraints de se mettre en mode de réaction à la crise pendant des périodes académiques critiques. Certains rapports suggèrent que les attaquants ont revendiqué l'accès à des centaines de millions d'enregistrements liés aux étudiants, aux éducateurs et au personnel dans le monde entier, ainsi qu'à des détails d'inscription et à des messages privés auxquels ils auraient accédé par l'intermédiaire des fonctions d'exportation et des API de Canvas.
Cet incident met en lumière une réalité que de nombreux acteurs du secteur de la cybersécurité connaissent depuis longtemps. Les écoles, collèges et universités évoluent dans un environnement numérique de plus en plus hostile, tout en manquant souvent des ressources, de la visibilité et de la maturité en matière de sécurité nécessaires pour se défendre efficacement.
Les établissements d'enseignement sont confrontés à un défi de cybersécurité particulièrement difficile à relever.
Contrairement à de nombreuses organisations commerciales, les universités et les écoles sont conçues autour de l'ouverture et de l'accessibilité. Des milliers d'étudiants, de professeurs, de contractuels et de partenaires externes ont besoin d'accéder aux systèmes et aux données tous les jours. Les utilisateurs se connectent à partir d'appareils personnels, de sites distants et de réseaux non gérés. La collaboration en matière de recherche fait souvent appel à des tiers et à des plateformes en nuage.
C'est pourquoi la sécurité zéro confiance devient de plus en plus importante dans le secteur de l'éducation.
Richard Ford, directeur technique d'Integrity360, déclare : " En dehors des contraintes budgétaires, le principal défi des écosystèmes éducatifs est l'accès. L'accès pour les étudiants, les enseignants et les tiers, la majorité d'entre eux utilisant des appareils non gérés. C'est là que la confiance zéro excelle et devrait être une priorité pour s'assurer que le principe du moindre privilège est mis en œuvre, et que les identités et l'accès sont sécurisés".
Pour les écoles et les universités, cette approche peut réduire de manière significative le risque posé par des informations d'identification compromises, des appareils non gérés et l'accès de tiers. Une vérification rigoureuse de l'identité, des contrôles d'accès à moindre privilège, une surveillance continue et une segmentation sont autant d'éléments qui permettent de limiter les possibilités d'action des attaquants en cas de compromission d'un compte.
Dans le même temps, les institutions stockent d'énormes volumes d'informations de grande valeur. Les dossiers des étudiants, les données financières, les données de recherche, la propriété intellectuelle, le matériel d'examen et les communications sensibles constituent autant d'opportunités intéressantes pour les pirates.
L'incident de Canvas montre comment la compromission d'un fournisseur de technologie tiers peut rapidement se répercuter sur des milliers d'institutions simultanément.
Cette dépendance de la chaîne d'approvisionnement devient l'un des plus grands risques du secteur.
De nombreuses organisations éducatives s'appuient fortement sur des plateformes d'apprentissage, des outils de collaboration et des applications gérées en externe basés sur le cloud. Si ces technologies offrent souplesse et évolutivité, elles élargissent aussi considérablement la surface d'attaque.
Instructure, l'entreprise à l'origine de la plateforme d'apprentissage Canvas, a confirmé un incident de cybersécurité au début du mois de mai après que des attaquants liés au groupe ShinyHunters ont obtenu un accès non autorisé aux données des utilisateurs. La faille aurait exposé des noms, des adresses électroniques, des numéros d'identification d'étudiants et des messages d'utilisateurs liés à des écoles et des universités du monde entier.
Quelques jours plus tard, l'incident s'est aggravé lorsque les pages de connexion à Canvas de centaines d'établissements d'enseignement ont été défigurées par des messages de rançon émanant de ShinyHunters. Les étudiants et le personnel qui tentaient de se connecter étaient redirigés vers des messages menaçant de divulguer les données volées si des négociations n'avaient pas lieu avant une date limite fixée .
"Une nouvelle compromission, à quelques jours d'intervalle, souligne deux points importants auxquels nous devons prêter attention en matière de cybersécurité. Premièrement, la persistance est omniprésente et les attaquants peuvent rester dans un environnement après l'avoir maîtrisé. Il est essentiel qu'une surveillance soit mise en place après l'intrusion pour s'assurer que l'endiguement et l'éradication ont bien eu lieu. D'autre part, s'il s'agit d'une violation entièrement nouvelle, cela montre à quel point les attaquants peuvent être persistants pour s'assurer qu'ils obtiennent leur jour de paie", déclare Richard.
Alors que certains rapports préliminaires spéculaient sur l'implication de faux portails de connexion, les rapports confirmés actuels indiquent plutôt que les attaquants ont exploité les vulnérabilités liées à l'environnement "Free-For-Teacher" d'Instructure et ont ensuite modifié les pages de connexion dans le cadre de la campagne d'extorsion.
L'attaque a causé des perturbations majeures pendant les périodes critiques d'examen, empêchant l'accès aux travaux de cours, aux devoirs et aux systèmes de communication dans des milliers d'institutions à travers le monde. Cet incident montre à quel point le secteur de l'éducation dépend aujourd'hui des plateformes en nuage et comment une compromission affectant un fournisseur majeur peut rapidement avoir des répercussions sur les écoles et les universités du monde entier.
De nombreuses écoles et universités ne peuvent tout simplement pas rivaliser avec le secteur privé en ce qui concerne les budgets de cybersécurité et l'acquisition de talents.
Les équipes de sécurité sont souvent réduites, débordées et chargées de protéger des environnements de plus en plus complexes avec des fonds limités. Cette situation peut entraîner des retards dans l'application des correctifs, une surveillance incohérente et des lacunes dans la préparation à la réponse aux incidents.
Les attaquants le savent.
L'éducation reste l'un des secteurs les plus ciblés au niveau mondial, car les acteurs de la menace considèrent souvent les institutions comme des cibles plus faciles, avec des données précieuses et des capacités défensives plus faibles.
Les environnements éducatifs modernes sont décentralisés par nature.
Les institutions peuvent avoir plusieurs campus, des apprenants à distance, des modèles d'enseignement hybrides, des applications en nuage et des milliers de points d'extrémité non gérés qui se connectent quotidiennement. La visibilité devient difficile, en particulier lorsque l'infrastructure existante et les services cloud modernes coexistent.
Cela crée des opportunités pour les attaquants d'exploiter des contrôles d'authentification faibles, des informations d'identification compromises ou des intégrations mal sécurisées.
L'attaque de Canvas renforce les risques associés aux fournisseurs tiers.
Même les institutions dotées de contrôles internes solides peuvent être exposées si une plateforme externe de confiance subit une violation. Les systèmes de gestion de l'apprentissage, les plateformes de communication, les portails de recherche et les systèmes administratifs représentent tous des vecteurs d'attaque potentiels.
Les établissements d'enseignement ne doivent plus se contenter de sécuriser leur propre infrastructure. Ils doivent également avoir une visibilité sur les risques encourus par les fournisseurs et l'exposition des tiers.
Les étudiants et le personnel restent des cibles privilégiées pour les campagnes d'hameçonnage et les attaques par ingénierie sociale.
Les calendriers universitaires créent des fenêtres d'attaque prévisibles. Les périodes d'inscription, les saisons d'examen et les dates limites de versement des aides financières sont autant d'occasions pour les attaquants de se faire passer pour des systèmes fiables ou d'exploiter l'urgence.
Lorsqu'il existe un grand nombre d'utilisateurs inexpérimentés ou de passage, les attaquants voient souvent un chemin facile vers les environnements institutionnels.
Les cyberattaques dans le secteur de l'éducation ne se limitent plus au vol de données. La perturbation elle-même est devenue une arme.
Si les systèmes d'apprentissage en ligne tombent en panne, les établissements peuvent avoir du mal à dispenser l'enseignement, à traiter les travaux de cours ou à communiquer efficacement avec les étudiants. Dans certains cas, des opérations académiques entières peuvent s'arrêter.
L'atteinte à la réputation peut également être grave, en particulier lorsque la confiance des étudiants et les responsabilités en matière de protection sont en jeu.
L'approche réactive traditionnelle de la cybersécurité ne suffit plus au secteur de l'éducation.
Attendre qu'un incident se produise avant d'investir dans la visibilité, la détection et la réponse crée des risques inutiles. Les établissements d'enseignement ont besoin de stratégies de cybersécurité proactives capables d'identifier les activités suspectes avant que les perturbations ne s'aggravent.
Cela inclut :
La cyber-résilience dans le secteur de l'éducation consiste désormais à maintenir la continuité opérationnelle autant qu'à protéger les données.
Les organisations éducatives ont besoin de partenaires en cybersécurité qui comprennent la complexité du secteur et peuvent fournir un soutien pratique et évolutif.
Integrity360 travaille avec des organisations du secteur de l'éducation et du secteur public au sens large afin de renforcer la cyber-résilience, d'améliorer la visibilité et de réduire les risques opérationnels, et aide les institutions à détecter les menaces et à y répondre rapidement avant qu'elles ne se transforment en incidents majeurs.
Les services qui peuvent aider les écoles, les collèges et les universités sont les suivants :
Integrity360 est également assuré par le NCSC Cyber Incident Response scheme, ce qui renforce la confiance des organisations qui recherchent un soutien expérimenté en matière de réponse aux incidents en cas de crise.
La cyberattaque de Canvas ne sera probablement pas le dernier incident majeur affectant le secteur de l'éducation. Alors que les institutions continuent d'étendre leurs écosystèmes numériques, les attaquants continueront de chercher des faiblesses à exploiter.
Les établissements d'enseignement ne peuvent pas éliminer complètement les risques, mais ils peuvent améliorer considérablement leur résilience, leur visibilité et leur capacité de réaction.
Votre cybersécurité vous préoccupe ? Contactez les experts d'Integrity360.