Les universités britanniques sont attaquées : voici comment elles réagissent

Les universités britanniques sont attaquées de toutes parts. Un rapport L’année dernière, il a été révélé que des dizaines d’institutions avaient accepté entre 122 et 156 millions de livres sterling de sources chinoises au cours des six années précédentes. Le problème? Environ un cinquième de ces dons provenaient d’entités sanctionnées par les États-Unis en raison de leurs liens avec l’armée chinoise. Ces révélations mettent en évidence les recherches de pointe entreprises par de nombreuses universités et leur importance stratégique pour certains gouvernements.

Toujours en alerte face à la menace, Le MI5 a récemment été informé vice-chanceliers de 24 universités de premier plan sur les efforts persistants soutenus par l'État pour obtenir la propriété intellectuelle. Mais ils ne doivent pas seulement se défendre contre les États-nations. La menace des cybercriminels motivés par l’argent est également importante.

Difficile à défendre

Le secteur de l’enseignement supérieur (ES) apporte une contribution souvent sous-estimée à l’économie nationale. Selon le derniers chiffres, les universités et autres prestataires d’enseignement supérieur représentent 71 milliards de livres sterling par an en valeur ajoutée brute (VAB) et 130 milliards de livres sterling en production économique générale. C’est à lui seul une raison pour le protéger des États-nations et des groupes de cybercriminalité.

« Le cyber offre un moyen impossible d'obtenir des informations qui ne leur seraient pas accessibles autrement », affirme le rapport. Centre national de cybersécurité (NCSC) parle des agents soutenus par l’État. « Il est probable qu'elle soit exploitée à la place ou en conjonction avec les voies traditionnelles d'accès à la recherche, telles que les partenariats, les « étudiants détachés » ou l'investissement direct.

Pourtant, les établissements d’enseignement supérieur doivent faire face à de multiples défis dans leurs efforts pour améliorer la cyber-résilience. D’une part, la plupart d’entre elles comptent un grand nombre d’enseignants et d’étudiants utilisant leurs réseaux. Cela fait du phishing une méthode populaire pour obtenir des informations d’identification d’accès au réseau et des informations personnelles identifiables (PII). Cela n’aide pas – bien que 84 % des universités imposent une formation à la sécurité de l’information au personnel – seulement 5 % la rendent obligatoire pour les étudiants. étudiants.

Les universités doivent également gérer les risques au sein d’une topologie de réseau informatique potentiellement vaste et complexe. Selon le NCSC, de nombreux réseaux universitaires contiennent « un ensemble de réseaux privés plus petits, fournissant des services étroitement liés aux facultés, laboratoires et autres fonctions ». Cela peut rendre plus difficile l’application cohérente d’une politique de sécurité. À cela s'ajoutent les risques potentiels à la périphérie distribuée, y compris les travailleurs à domicile et les étudiants à distance.

« La nature de la recherche universitaire se nourrit de la collaboration et de l’échange ouvert d’informations. Cela nécessite un accès ouvert aux réseaux et aux ressources, ce qui rend difficile la mise en œuvre de mesures de sécurité trop restrictives. Trouver un équilibre entre ouverture et sécurité robuste est un combat constant », a déclaré Chris Gilmour, CTO d'Axians UK, à ISMS.online.

« Cette situation est encore aggravée par le fait que les étudiants et le personnel utilisent des appareils personnels – ordinateurs portables, smartphones, où les universités doivent trouver un équilibre entre le BYOD et l'accès aux ressources clés tout en maintenant une posture de sécurité globale appropriée. Ces appareils non gérés, s’ils ne sont pas correctement sécurisés, peuvent introduire des vulnérabilités et servir de points d’entrée potentiels pour les cyberattaques.

Enfin, les prestataires d’enseignement supérieur sont confrontés à « des pressions systémiques à long terme sur leur viabilité financière et leur viabilité », selon un comité des comptes publics de 2022. rapport. Le maintien du plafonnement des frais de scolarité et des facteurs à court terme tels que la hausse des coûts de l’énergie et des emprunts et l’inflation ont rendu la budgétisation plus difficile. Cela peut avoir un impact sur les budgets de cybersécurité, tout en amplifiant les dommages résultant des failles de sécurité. Outre les coûts directs, les universités doivent également tenir compte de l’impact potentiel d’une atteinte grave à leur réputation aux yeux des étudiants potentiels.

La menace est réelle

Lorsque les États ne parviennent pas à obtenir ce qu’ils veulent en faisant d’importants dons « altruistes » aux établissements d’enseignement supérieur, ils ont recours au cyberespionnage traditionnel. Pendant ce temps, les groupes de cybercriminalité ciblent de plus en plus les informations personnelles du personnel et des étudiants ainsi que les systèmes exposés via des ransomwares. Selon le partenaire informatique de l'université JISC, les ransomwares sont considérés comme la cybermenace numéro un pour le secteur, suivis par l'ingénierie sociale/le phishing et les vulnérabilités non corrigées. L'organisation à but non lucratif affirme que 97 % des prestataires d'enseignement supérieur incluent désormais la cybersécurité dans leur registre des risques, et que 87 % d'entre eux rendent régulièrement compte des cyberrisques à leur conseil d'administration. Mais cela ne fait pas disparaître le défi.

En fait, c’est plus prononcé que jamais. Un gouvernement rapport d'avril 2023, 85 % des établissements d'enseignement supérieur ont identifié des violations ou des attaques au cours des 12 mois précédents, contre seulement 32 % des entreprises.

Un dévastateur brèche à l’Université de Manchester en 2023 a entraîné la compromission de plus d’un million de dossiers de patients du NHS et découle d’une attaque de phishing. En fait, les attaques de ransomware comme celle-ci sont courantes et programmées pour coïncider avec la période de compensation critique – autant le sont – peut avoir un impact démesuré.

La menace émanant des acteurs étatiques est plus subtile mais toujours présente. En février 2021, probablement des pirates informatiques soutenus par l'État ont été piratés la Division de biologie structurale de l'Université d'Oxford, qui travaillait à l'époque sur un vaccin contre le COVID-19 avec AstraZeneca. Dès 2018, Des hackers iraniens ciblés Les universités britanniques vont voler des recherches sensibles.

Riposter

Heureusement, même les établissements d’enseignement supérieur à court de liquidités peuvent améliorer leur cyber-résilience grâce à certaines bonnes pratiques éprouvées, selon Gilmour.

« Donner la priorité à la formation du personnel en matière de sensibilisation à la cybersécurité permet à chacun d'identifier et d'éviter les menaces », affirme-t-il. « La mise en œuvre d'outils de sécurité open source et l'exploitation des ressources gouvernementales gratuites peuvent combler certaines failles de sécurité. Et encourager une culture de minimisation des données et donner la priorité aux systèmes critiques leur permet de faire plus avec moins.

Tim Line, responsable des services chez Secure Schools, ajoute que la défense en profondeur est essentielle. L'authentification multifacteur, la planification de la réponse aux incidents, les sauvegardes robustes, la détection des points finaux (EDR), les pare-feu et le cryptage devraient tous être une priorité, explique-t-il à ISMS.online. Le déploiement de tels contrôles et les meilleures pratiques opérationnelles, notamment l'application rapide de correctifs, une utilisation acceptable et une configuration sécurisée, doivent être décrits dans des politiques claires « qui décrivent les attentes et établissent des règles », ajoute Line.

«Considérez chaque contrôle sécurisé comme une tranche de fromage suisse», explique-t-il. « Une tranche comporte de nombreux trous et peut facilement être brisée. Ajoutez une autre tranche de contrôle de sécurité, et cela bouchera certains des trous de la première tranche, et ainsi de suite jusqu'à ce que le risque soit réduit à un niveau jugé acceptable.

Line et Gilmour soulignent également la valeur des normes de sécurité des meilleures pratiques telles que la norme ISO 27001 et des offres telles que le cadre de cybersécurité du NIST.

« ISO 27001 propose une approche structurée de la gestion de la sécurité de l'information. En mettant en œuvre ses contrôles, les universités peuvent identifier et gérer les risques de cybersécurité, développer une culture de sensibilisation à la sécurité et établir des processus clairs de réponse aux incidents », explique Gimour.

Des initiatives encore plus fondamentales comme Cyber ​​Essentials peuvent être utiles pour réduire les risques, ajoute Line.

« Ils ne réduiront jamais le risque à zéro – tout comme la mise en place de détecteurs de fumée, de portes coupe-feu, d'alarmes incendie et de procédures d'évacuation ne réduit pas à zéro le risque d'incendie », conclut-il. « Cela réduit cependant considérablement le risque d’occurrence, de propagation du feu et d’impact significatif sur les personnes et les opérations. »