Protéger les écoles primaires et secondaires contre le phishing : points à retenir de l'épisode 6 de Lightning Chat

lightning chat episode 6 phishing

3 points clés à retenir

  • Le phishing est une menace plus importante que ce que les écoles pensent : Seuls 271 districts considèrent le phishing comme un risque élevé, mais c'est un moyen majeur utilisé par les pirates informatiques pour cibler les écoles primaires et secondaires, mettant en danger les élèves, le personnel et les données.
  • La sensibilisation et la vérification sont essentielles : Apprenez au personnel à repérer les e-mails d’hameçonnage et à vérifier les demandes suspectes par téléphone ou par SMS, et non par e-mail, pour éviter de tomber dans le piège d’attaques sophistiquées.
  • Utilisez des outils gratuits et un MFA résistant : Des plateformes comme Microsoft 365 et Google Workspace disposent de fonctionnalités intégrées pour détecter le phishing, et les MFA résistants au phishing comme PassKeys peuvent bloquer les pirates même s'ils volent des informations d'identification.

L'hameçonnage (phishing) représente une menace majeure pour les écoles primaires et secondaires, d'autant plus que beaucoup d'entre elles ne disposent ni du budget ni du personnel nécessaires pour s'y attaquer de front. Dans l'épisode 6 de Lightning Chat, John Genter, directeur de la sécurité informatique chez Lightspeed Systems, et Brad White, architecte principal de la sécurité des applications, ont discuté de ce sujet. Forts de plus de 30 ans de collaboration dans le domaine de la cybersécurité et de liens étroits avec le monde de l'éducation (John a été membre du conseil scolaire pendant 22 ans et Brad est issu d'une famille d'enseignants), ils ont expliqué pourquoi l'hameçonnage est un problème plus grave que la plupart des écoles ne le pensent et ont partagé des solutions pratiques et peu coûteuses pour le combattre.

Les écoles sont des cibles plus importantes que vous ne le pensez

John a lancé les choses avec un fait surprenant provenant d'un Rapport CoSN : « Seuls 27% des districts scolaires ont identifié le phishing comme un risque élevé. » C'est une erreur flagrante, surtout si l'on considère les déclarations de l'Agence de cybersécurité et de sécurité des infrastructures (CISA) : « Des cyberacteurs malveillants ciblent les établissements scolaires du primaire et du secondaire dans tout le pays, avec des conséquences potentiellement catastrophiques pour les élèves, leurs familles, les enseignants et les administrateurs. » Brad a acquiescé : « Le primaire et le secondaire sont des cibles relativement vulnérables pour plusieurs raisons. » Pourquoi ? Voici les raisons :

  • Budgets serrés : Les écoles ne peuvent souvent pas se permettre d’acheter des outils de cybersécurité de pointe.
  • Petites équipes informatiques : Moins de personnes signifie qu’il est plus difficile de rester au fait des menaces.
  • Mauvais état d'esprit : Beaucoup de gens pensent que les écoles ne méritent pas d’être ciblées, mais les pirates informatiques savent qu’elles sont une cible facile.

John a partagé un exemple concret : « Ces dernières semaines seulement, nous avons constaté la compromission de cinq comptes clients tentant d'hameçonner des employés de Lightspeed. » Brad a expliqué le fonctionnement de ces attaques : « Les pirates utilisent des attaques sophistiquées de type « adversary in the middle » (adversaire du milieu), dérobant à la fois le nom d'utilisateur, le mot de passe et le jeton de session de l'utilisateur, même s'ils utilisent l'authentification multifacteur (MFA). » Ces attaques peuvent toucher n'importe qui : personnel informatique, enseignants, etc., et elles peuvent contourner l'authentification multifacteur (MFA) standard si elle n'est pas conçue pour empêcher l'hameçonnage.

Des moyens simples et gratuits pour se protéger des tentatives d'hameçonnage

John et Brad ont été clairs : nul besoin d’un gros budget pour lutter contre le phishing. La sensibilisation est la première étape. Brad a résumé la situation en termes simples : « Le plus économique est simplement de mieux sensibiliser. Assurez-vous que vos utilisateurs savent qu’ils sont la cible d’attaques de phishing et qu’ils doivent redoubler de prudence face aux e-mails inattendus. » John a eu une formule accrocheuse, inspirée de Ronald Reagan : « Faites confiance, mais vérifiez », ou mieux encore, « Ne répondez pas, vérifiez ». Voici leurs conseils :

  • Vérifiez à nouveau les e-mails étranges : Si un e-mail vous demande une action inhabituelle, comme cliquer sur un lien, n'y répondez pas. Appelez ou envoyez plutôt un SMS à l'expéditeur. Brad a averti : « Nous avons constaté des cas où des pirates informatiques contrôlaient la boîte de réception de l'expéditeur. »
  • Faites participer tout le monde : Des directeurs aux gardiens, assurez-vous que tout le personnel sait qu’il peut être ciblé et à quoi ressemble le phishing.

Astuces techniques pour verrouiller les choses

Côté technologie, ils ont préconisé une MFA résistante au phishing. Brad a expliqué que les méthodes MFA courantes, comme les codes envoyés par SMS ou les notifications d'applications, « peuvent être détournées par des attaques de type « adversaire du milieu ». Privilégiez plutôt les « jetons basés sur FIDO, comme UVKeys ou PassKeys… comme Windows Hello ». John a ajouté : « Même une MFA basique est mieux que rien », mais une MFA résistante au phishing change la donne. Ils ont également évoqué des outils gratuits sur des plateformes comme Microsoft 365 ou Google Workspace :

  • Gardez un œil sur les journaux : Vérifiez les règles de messagerie étranges, comme les messages marqués comme lus et déplacés vers des dossiers cachés, ou les connexions à partir d'endroits étranges.
  • Restez vigilant face aux attaques sournoises : Brad a noté : « Ils observeront le comportement d'un utilisateur une fois qu'il aura obtenu l'accès... et placeront une machine à proximité », ce qui rend difficile la détection des connexions non autorisées.

Limiter les dommages causés par le phishing grâce au principe du moindre privilège

Une autre idée importante était de limiter l'accès pour réduire les dégâts en cas de piratage. Brad a déclaré : « Ne leur donnez pas automatiquement accès à tout. Donnez-leur accès à ce dont ils ont besoin. » John a comparé cela à un sous-marin : « Si une brèche se trouve sur une partie… elle ne coule pas tout le sous-marin. » Voici comment procéder :

  • Donnez juste assez d'accès : Dans Office 365 ou Google Workspace, autorisez uniquement le personnel à utiliser les outils dont il a besoin, comme la messagerie électronique ou Word, et non SharePoint ou Teams.
  • Ajustez au fur et à mesure : Si le travail d'une personne change, mettez à jour son accès pour assurer la sécurité sans la ralentir.

Une formation courte et fréquente est préférable à de longs cours magistraux

Oubliez les séances de formation d'une heure une fois par an. John et Brad ont indiqué que des rappels courts et réguliers étaient plus efficaces. John a expliqué comment Lightspeed publie un « conseil de la semaine » dans sa newsletter, et Brad a apprécié l'idée d'une « communication plus courte et plus régulière » pour maintenir l'attention de tous. Ils ont suggéré :

  • Mises à jour hebdomadaires : Envoyez des e-mails rapides avec des exemples réels, comme « voici ce qui se passe actuellement… voici quelques liens d'autres organisations K-12 qui ont été compromises ».
  • Simplifiez la création de rapports : Encouragez le personnel à signaler rapidement les e-mails étranges, sans jugement.

Pour conclure : Restez vigilant face au phishing

Le mot de la fin de Brad fut sans détour : « Assurez-vous que vos utilisateurs sont conscients qu'ils sont la cible d'hameçonnage. Ils le sont assurément, 100%. » Il a préconisé l'utilisation de clés d'accès, compatibles avec la plupart des appareils, pour les comptes non étudiants. John a suggéré de consulter le rapport CoSN et le site web de la CISA pour plus de conseils.

L'hameçonnage ne concerne pas seulement les grandes entreprises : il touche aussi durement les établissements scolaires. En sensibilisant les élèves, en utilisant une MFA résistante à l'hameçonnage et en exploitant des outils gratuits, les établissements peuvent réduire considérablement leurs risques. Comme John et Brad l'ont montré dans l'épisode 6 de Lightning Chat, quelques mesures intelligentes et peu coûteuses peuvent protéger les élèves, le personnel et les données. Regardez l'épisode complet et restez vigilants !

Contenu recommandé

Renforcer la collaboration entre l'informatique et les enseignants

Avec l'environnement d'apprentissage numérique omniprésent à tous les niveaux de l'enseignement primaire et secondaire, une utilisation efficace des technologies éducatives est primordiale pour atteindre les résultats d'apprentissage souhaités par les élèves. Cependant, cela nécessite…

Célébrer la réussite des élèves en classe

Une grande partie du métier d'enseignant consiste à signaler les erreurs, à les corriger, etc. Mais, comme toujours, il est important de trouver un équilibre entre les retours constructifs et correctifs…

Que doit faire un enseignant pour gérer les distractions en classe ?

Gérer efficacement les distractions en classe est un défi pour les enseignants depuis des générations. Aujourd'hui, à l'ère du numérique, gérer efficacement les distractions en classe est devenu un défi.
Articles récents

Retour à l'école : gérer les risques cachés de la flambée de violence post-été

Alors que les cloches de l'école sonnent et que les élèves reprennent le chemin des salles de classe après de longues vacances d'été, l'excitation est palpable. Nouveaux cartables, fournitures fraîches et la promesse d'une nouvelle année. Mais sous la surface, une tendance inquiétante se dessine : une recrudescence de la violence et des menaces à l'école, alors que les élèves s'adaptent à la vie scolaire.

Le coût réel de l'inaction dans les écoles britanniques

Aujourd'hui, adopter une approche proactive en matière de sécurité scolaire n'est plus une option. C'est essentiel. Bien que la plupart des écoles disposent de plans de sécurité, les risques les plus importants apparaissent souvent lorsque les signes avant-coureurs sont manqués ou non signalés.

Améliorer la sécurité des écoles primaires et secondaires : pourquoi la prévention, la détection et le confinement sont importants

La sécurité scolaire ne se résume pas à l'installation de caméras de sécurité adaptées ou à un plan d'urgence solide (bien que ces éléments soient essentiels). Les responsables pédagogiques d'aujourd'hui comprennent que créer des environnements d'apprentissage véritablement sûrs nécessite une approche à plusieurs niveaux permettant de traiter les problèmes potentiels avant qu'ils ne dégénèrent en crises.