Le phishing a été le vecteur d’accès le plus courant concernant les infections par ransomware dans les établissements d’enseignement primaire/secondaire au cours de l’année écoulée.

Alors que les écoles continuent d’étendre leur surface numérique, la menace du phishing, des spams et d’autres cyberattaques a un impact croissant sur les établissements accueillant des écoliers jusqu’à l’âge de 18 ans. Ces établissements peuvent être appelés écoles primaires, élémentaires et secondaires, ou de manière globale “établissements d’enseignement des 1er et 2nd degrés”.

Le CIS (Center for Internet Security) rapporte que 82% des écoles primaires et secondaires ont connu un incident de cybersécurité entre juillet 2023 et décembre 2024. Et ces incidents coûtent cher. Selon le rapport 2025 de Sophos intitulé “L’état des ransomwares dans le secteur de l’éducation” (State of Ransomware in Education), le coût moyen pour un établissement d’enseignement pour se remettre d’une attaque de ransomware était d’un peu moins d’un million de dollars à l’échelle mondiale, avant même de prendre en compte le paiement des rançons.

Alors que les élèves sont maintenant retournés en classe, les administrateurs et les équipes IT doivent rester vigilants face aux acteurs malveillants opportunistes. Ces attaquants visent à exploiter toutes les vulnérabilités, mettant ainsi en danger les élèves, le personnel et les enseignants.

Considérations relatives aux appareils et au réseau

Assurer la protection des systèmes est la première étape pour améliorer la résilience d’une école vis à vis des attaques.

Connectivité croissante

Aujourd’hui, les salles de classe dépendent fortement de la technologie : en effet, les appareils d’apprentissage connectés à Internet et les ordinateurs et autres Chromebooks attribués par l’école devenant la norme.

Chacun de ces appareils peut contenir des vulnérabilités matérielles/hardware et logicielles/software qui peuvent être difficiles à corriger et à maintenir à jour en permanence.

Le rapport 2025 de Sophos intitulé “L’état des ransomwares dans le secteur de l’éducation” renforce l’importance des correctifs. Les vulnérabilités de sécurité exploitées ont été citées comme la cause de 21% de toutes les attaques de ransomware réussies contre les établissements d’enseignement.

Un secteur composé de plusieurs secteurs différents

Les changements technologiques dans les écoles ne se limitent pas aux ordinateurs remplaçant les manuels scolaires physiques et aux “tableaux intelligents” connectés à Internet remplaçant les tableaux noirs. Les processus backend sont également numériques. Les écoles peuvent héberger des systèmes de traitement des paiements et de stockage de données, ainsi que d’autres infrastructures. Cette convergence crée des centaines de points de contact numériques dans chaque école.

À mesure que la technologie s’intègre de plus en plus à l’apprentissage et à l’administration, le nombre de vulnérabilités potentielles en matière de cybersécurité augmente.

Contrats tiers et hébergement externe

Les écoles s’appuient souvent sur des contrats avec des tiers pour divers services, notamment la planification, le e-learning et les systèmes de messagerie. Ces services peuvent s’appuyer sur une combinaison d’hébergement interne et externe ou peuvent être entièrement hébergés en externe.

Le recours aux éditeurs introduit des risques supplémentaires, car ces derniers doivent être responsables de leurs propres mesures de sécurité pour prévenir et corriger les vulnérabilités. Une compromission de la plateforme de l’éditeur en question pourrait rendre les services indisponibles ou donner accès aux données de l’école.

BYOD et apprentissage à distance

L’apprentissage à distance et la prévalence croissante des téléphones portables personnels chez les élèves introduisent des problématiques particulières concernant le fait justement d’apporter son propre appareil (BYOD). Les élèves peuvent recevoir des ordinateurs portables administrés par l’école qu’ils transportent entre l’école et la maison chaque jour, ou ils peuvent apporter des appareils personnels qu’ils connectent au réseau de l’école.

Ces appareils peuvent créer des points d’entrée pour les attaques. Si l’appareil d’un élève est infecté à l’extérieur de l’école et est ensuite connecté au réseau de l’école, le malware pourrait accéder au réseau.

La menace du phishing

Les spams et le phishing sont des méthodes courantes utilisées par les attaquants pour infiltrer les réseaux scolaires. Lors d’attaques de phishing, un acteur malveillant se fait passer pour une personne ou une organisation via un email afin d’inciter les individus à révéler des informations sensibles. Le rapport 2025 de Sophos sur “L’état des ransomwares dans le secteur de l’éducation” a montré qu’il s’agissait de la cause première technique des attaques de ransomwares signalée dans l’enseignement secondaire (22%). Les spams consistent à envoyer des courriers électroniques en masse, moins personnalisés, selon une approche de type “spray-and-pray“.

Les emails comme vecteur d’attaque

De nombreux étudiants se voient attribuer leur propre adresse électronique lorsqu’ils atteignent l’âge approprié. Cette pratique pourrait donner lieu à des actes de phishing touchant des élèves dès l’âge de six ans. Nouveaux dans l’apprentissage numérique, les jeunes élèves sont plus susceptibles de cliquer sans le savoir sur des liens malveillants, de télécharger des malwares, de créer des mots de passe faciles à deviner ou bien de réutiliser des mots de passe, tout simplement. Sans sécurité ni authentification robustes, ils peuvent involontairement ouvrir la porte à des attaques de ransomware dévastatrices.

Le phishing au-delà du courrier électronique

Les escroqueries par phishing ont évolué et ciblent désormais les utilisateurs des plateformes de réseaux sociaux, des services de streaming et des services d’abonnement. Ces plateformes et services sont populaires parmi les élèves du primaire et du secondaire, qui peuvent utiliser des appareils fournis par l’établissement pour tenter d’accéder à ces services (ou à des versions falsifiées de ces derniers) en dehors des heures d’apprentissage. Ces arnaques peuvent se faire passer pour des entreprises connues afin de tromper les utilisateurs en les incitant à fournir des informations personnelles sensibles.

Ces attaques peuvent être extrêmement coûteuses. Selon le rapport 2025 de Sophos intitulé “L’état des ransomwares” (State of Ransomware), qui regroupe tous les secteurs, les écoles primaires et secondaires ont les coûts de récupération les plus élevés parmi tous les autres secteurs, avec une moyenne de 2,28 millions de dollars. Ce montant n’inclut pas les rançons payées par les victimes.

Des ressources limitées, des risques croissants

Les écoles et les enseignants sont confrontés à de nombreux défis, notamment des classes plus nombreuses, des budgets en baisse et des ressources limitées. En outre, l’ICO (Information Commissioner’s Office) a signalé une augmentation des cyberattaques dans les écoles au Royaume-Uni, résultant de menaces internes, en particulier de la part d’élèves qui peuvent compromettre par inadvertance ou par malveillance les réseaux scolaires. S’assurer que la technologie fonctionne correctement pour le personnel et les élèves peut consommer la plupart des ressources IT disponibles. De plus, l’équipe IT ne peut pas faire grand-chose pour contrôler les activités numériques des élèves une fois qu’ils sont hors de la salle de classe et hors de la protection du réseau de l’école.

Le rapport général sur “L’état des ransomwares en 2025” a révélé que 42% des établissements d’enseignement primaire et secondaire avaient signalé des difficultés à détecter et à stopper les attaques à temps. Cette tendance souligne la nécessité cruciale de disposer de mesures proactives pour prévenir les attaques avant qu’elles ne se produisent. Le taux affiché par le secteur de l’éducation est comparable à celui des autres secteurs, telles que celui de l’énergie, du pétrole/gaz et des services publics à savoir 43%, tout comme le secteur de la fabrication et de la production, soulignant ainsi le caractère généralisé de cette problématique.

Comment les écoles peuvent mieux se protéger contre les menaces de cybersécurité ?

Alors que les écoles primaires et secondaires adoptent de plus en plus l’apprentissage numérique, elles sont également confrontées à des risques croissants en matière de cybersécurité qui menacent la confidentialité des élèves, perturbent les opérations et mettent à rude épreuve les ressources IT. Pour garder une longueur d’avance sur les menaces en constante évolution, les administrateurs et les équipes IT doivent adopter une mentalité axée sur la prévention, qui combine des contrôles de sécurité robustes, une formation continue et des partenariats stratégiques.

Prévenir les attaques avant qu’elles ne soient lancées : Sophos souligne l’importance de stopper les menaces avant qu’elles ne causent des dommages. Les écoles peuvent réduire le risque de ransomware et d’autres malwares en mettant en œuvre des contrôles de sécurité à plusieurs niveaux et en apprenant aux élèves et au personnel à reconnaître et à éviter les comportements à risque. Par exemple, le déploiement d’une solution de protection des messageries tierce comme Sophos Email peut aider à analyser les messages à la recherche d’URL et de codes QR malveillants, bloquant ainsi les tentatives de phishing avant qu’elles n’atteignent les boîtes de réception.

Donner aux utilisateurs les moyens d’utiliser une authentification forte : les exigences en matière de MFA (authentification multifacteur) ou d’un accès sans mot de passe aide les élèves et le personnel à se responsabiliser vis à vis de leur sécurité numérique. Toutefois, étant donné que les élèves peuvent rechercher des solutions de contournement, une formation et un suivi continus sont essentiels pour garantir l’efficacité de ces mesures.

Tirer parti des ressources gratuites et à faible coût : les contraintes budgétaires ne devraient pas être un obstacle à une meilleure sécurité. Les écoles peuvent avoir recours à des services gratuits ou subventionnés pour renforcer leurs défenses. La CISA (Cybersecurity and Infrastructure Security Agency) américaine propose une liste de ressources et des programmes tels que les subventions E-Rate de la FCC (Federal Communications Commission) et le service gratuit de cyberdéfense pour les écoles du NCSC (National Cyber Security Centre) au Royaume-Uni fournissent aussi un soutien précieux.

Coordonner et simplifier les stratégies IT : avec des environnements IT tentaculaires, les écoles doivent unifier leurs stratégies de cybersécurité pour combler les lacunes en matière de visibilité et réduire les risques. Une approche coordonnée permet d’empêcher les adversaires d’exploiter les maillons faibles des systèmes et des campus.

Étendre les capacités grâce à des partenariats de confiance : les ransomwares représentent un lourd fardeau pour les équipes IT. Les écoles peuvent soulager la pression et améliorer leurs capacités de réponse en s’associant à des prestataires proposant des services MDR (Managed Detection and Response) afin de garantir une couverture et une expertise 24h/24, 7j/7 et 365j/an.

Préparez-vous aux incidents avec des plans de réponse solides : même avec une prévention forte, des incidents peuvent toujours survenir. Les écoles doivent élaborer des plans de réponse aux incidents solides, effectuer des simulations et garantir une bonne préparation grâce à des services de monitoring et de support continus comme le MDR. Utilisez notre guide gratuit de planification des réponses aux incidents pour bien commencer.

Ces recommandations sont renforcées par celles de Sophos, qui œuvre pour la protection de milliers d’établissements d’enseignement, ainsi que par les conclusions du rapport 2025 de Sophos sur “L’état des ransomwares dans le secteur de l’éducation” (State of Ransomware in Education), basé sur une enquête indépendante et agnostique auprès de 441 responsables IT/Cybersécurité dans 17 pays. Le rapport met en évidence l’impact réel des ransomwares sur les établissements d’enseignement primaire/secondaire et supérieur et offre des informations exploitables pour renforcer la résilience.

