Depuis des années, l’évolution de l’éducation est étroitement liée à la technologie numérique, obligeant les acteurs du secteur à construire et à entretenir une infrastructure numérique résiliente qui soutienne l’apprentissage, quelle que soit la situation géographique. Les plateformes numériques jouent un rôle essentiel dans l’éducation moderne, rendant la cybersécurité et la protection des données primordiales pour le succès et la sécurité de notre secteur éducatif moderne.
La CISA et le ministère américain de l’Éducation ont récemment publié un document intitulé K-12 Digital Infrastructure Brief qui met en évidence les principes clés d’une infrastructure numérique éducative sécurisée, ainsi que les actions significatives que les différents acteurs et fournisseurs du secteur peuvent prendre pour renforcer la sécurité de nos écoles (K-12 : maternelle au secondaire).
Sophos a pour objectif d’aider les partenaires impliqués dans les écoles à aborder stratégiquement les risques de cybersécurité et à construire une infrastructure numérique plus facile à protéger et plus résiliente, qui peut être articulée autour des cinq fonctions principales listées dans la version 1.1 du Cybersecurity Framework émis par le NIST.
1) Identification
Identifier correctement l’empreinte numérique d’une organisation et ses dépendances tierces est un élément essentiel de la gestion des risques en matière de cybersécurité. En identifiant les actifs et les systèmes critiques, les acteurs du secteur peuvent corriger les services qui ne sont pas du tout ou bien pas suffisamment corrigés, mitiger les vulnérabilités exploitables et gérer les risques liés aux fournisseurs et aux tiers dès le début du processus d’approvisionnement.
Sophos, avec la collaboration de notre partenaire Tenable et de l’équipe Services Professionnels (Professional Services), est fier de proposer des analyses de vulnérabilité pour fournir des informations exploitables sur les dernières et des suggestions en matière de remédiation qui pourront aider à améliorer la posture de sécurité d’une organisation.
De plus, nous proposons les meilleures pratiques pour examiner l’accès des fournisseurs et les privilèges au niveau des applications, tout en surveillant de manière proactive les bulletins de sécurité des fournisseurs afin de minimiser les attaques de la supply chain ou les perturbations en matière de sécurité.
2) Protection
Ce point a déjà été abordé et il le sera de nouveau, mais des précautions de sécurité élémentaires peuvent faire toute la différence. Le déploiement de l’authentification multifacteur, la nécessité d’avoir une longueur de mot de passe minimale et l’utilisation de gestionnaires de mots de passe sont des étapes simples mais critiques qui peuvent être prises pour mieux protéger nos environnements éducatifs et nos écoles.
Une formation de base en matière cybersécurité devrait être une condition préalable pour le personnel et les étudiants, car elle est essentielle pour prévenir certains des vecteurs d’attaque les plus efficaces, les attaques de phishing et le vol de mots de passe. De plus, en formant les étudiants à la sécurité en ligne, à la confidentialité numérique (digital privacy) et à la manière de lutter contre la cyber-intimidation et le harcèlement, nous pouvons leur permettre de mieux naviguer dans le monde numérique.
Sophos a réussi à réduire la plus grande surface d’attaque, constituée essentiellement par les utilisateurs finaux d’une organisation, grâce à l’utilisation de notre outil de formation Phish Threat, permettant aux administrateurs de simuler des centaines d’attaques de phishing réalistes et complexes, en quelques clics seulement.
3) Détection
La cybersécurité est un sport d’équipe : jouons donc tous ensemble. La CISA recommande fortement aux organismes impliqués au niveau des écoles de rejoindre des organisations telles que MS-IASC et REN-ISAC, où les utilisateurs peuvent recevoir des informations sur les menaces, une assistance à la détection et à la réponse, visionner des webinaires concernant des problèmes critiques, et bénéficier d’avis et de notifications de cybersécurité. Le ministère de l’Éducation et la CISA proposent des programmes, des formations et des outils gratuits en matière de cybersécurité.
Pour une protection et des mises à jour plus approfondies, Sophos propose des services MDR (Managed Detection and Response), qui comprennent un SOC (Security Operations Center) accessible immédiatement, une détection et une réponse aux menaces disponible 24h/24 et 7j/7, une chasse aux menaces pilotée par des experts et une réponse aux incidents à grande échelle : le tout, bien sûr, personnalisable selon vos besoins spécifiques.
4) Réponse
Si un incident devait avoir lieu, la conséquences pourraient vite s’avérer coûteuses, difficiles et longues à gérer, mais il existe également des exigences légales en matière de signalement que les acteurs du secteur de l’éducation doivent aussi prendre en compte.
Après la promulgation de la loi CIRCIA en mars 2022, la CISA a été appelée à établir un mandat en vertu duquel les entités d’infrastructures critiques doivent signaler certains cyber-incidents à la CISA dans les 72h après avoir estimé raisonnablement qu’une attaque avait effectivement eu lieu et déclarer les paiements de rançon dans les 24h suivant la transaction. L’éducation a été identifiée pour la première fois comme une infrastructure essentielle en 2006, et a été récemment confirmée comme telle dans le National Defense Authorization Act concernant l’exercice fiscal 2021.
Sophos est capable de répondre aux incidents à grande échelle, mais souhaite également aider les acteurs avant qu’un incident ne se produise. Notre nouveau contrat de services de réponse aux incidents (Incident Response Retainer) garantit un crédit pour une remédiation complète en cas d’incident, mais guide également les organisations dans l’amélioration proactive de leur posture de sécurité grâce à des analyses de vulnérabilité, des contrôles d’intégrité des déploiements existants et des guides en matière de gestion des réponses aux incidents ainsi que des fiches de préparation.
5) Récupération
Renforcer la résilience signifie se préparer aux inévitables cyber-incidents. En garantissant que les incidents et les erreurs ont des impacts limités et transitoires, les établissements d’enseignement peuvent rapidement se rétablir et poursuivre leurs opérations, minimisant ainsi les perturbations de l’apprentissage et de l’administration.
L’élément de réussite ayant le plus grand impact pour les écoles touchées par un incident est la pratique de la restauration des systèmes à partir de sauvegardes. Cette capacité garantit une perte de données minimale et, lorsqu’elle est véritablement mise en pratique, elle permet également aux opérations courantes de reprendre une marche normale dès que possible.
L’engagement de Sophos
Pour construire une infrastructure numérique à l’épreuve du temps, les écoles (de la maternelle au secondaire) ont besoin d’une technologie fiable, accessible, résiliente, durable et capable de s’adapter à l’évolution des paysages technologiques. Les directeurs d’école, les chefs d’établissement, les responsables techniques, les enseignants, les étudiants, les familles et les dirigeants politiques doivent collectivement contribuer à l’établissement et au maintien d’un environnement éducatif sécurisé. De plus, les étudiants doivent avoir les moyens de naviguer dans le monde numérique en toute sécurité.
Nous travaillons constamment à améliorer les fonctionnalités en matière d’accessibilité pour accueillir divers utilisateurs, et nous effectuons régulièrement des évaluations des risques par des tiers, en nous alignant sur le Cybersecurity Framework du NIST et les contrôles ISO 27001. Nous savons également que la sécurité est un sport d’équipe et accueillons dans notre programme les chasseurs Bug Bounty pour assurer la sécurité de nos produits et de nos clients.
Sophos s’engage à contribuer à cet environnement sécurisé en donnant la priorité aux principes “Secure by Design“, avec des logiciels et des systèmes construits avec la sécurité au cœur de nos préoccupations. Nous pensons que la sécurité doit être un élément par défaut et non une option à rajouter, et nous sommes impatients de continuer à protéger et à responsabiliser les millions d’étudiants, entre autres, que nous accompagnons déjà aujourd’hui.
Pour obtenir plus d’informations et découvrir comment Sophos peut vous aider, contactez votre interlocuteur Sophos ou bien demandez à être rappelé par nos experts en sécurité.
Billet inspiré de The necessity of a robust K-12 digital infrastructure, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.