Pourquoi l'enseignement supérieur doit-il renforcer sa résilience informatique et cybernétique ?

En tant que gardiens d'informations personnelles hautement sensibles et de recherches de classe mondiale, les établissements d'enseignement supérieur du Royaume-Uni sont des cibles privilégiées pour les cybercriminels et les États-nations. La cyber-résilience au plus haut niveau L'une des priorités des RSSI du secteur. Mais comme l'a montré la récente panne de CrowdStrike, le secteur de l'enseignement supérieur doit se préparer à affronter d'autres acteurs que les seuls à faire face à des menaces.

La cyber-résilience fait partie intégrante de la continuité des activités, mais il existe d'autres risques qui pèsent sur les informations gérées par les établissements d'enseignement supérieur et sur les services qu'ils fournissent, et qui doivent également être gérés. Heureusement, la norme ISO 27001 peut également contribuer à préserver la disponibilité, la confidentialité et l'intégrité des systèmes d'information en cas de perturbation imprévue.

Qu'est-il arrivé?

Décrit comme possiblement la pire panne informatique au mondeL'incident CrowdStrike est dû à une mise à jour défectueuse de l'outil de sécurité des terminaux Falcon de l'entreprise, qui a entraîné des problèmes généralisés sur les ordinateurs Microsoft Windows exécutant le logiciel. Bien que moins de 1 % des terminaux Windows dans le monde aient été touchés, cela équivaut à plus de huit millions de machines, dont beaucoup exploitaient des services critiques dans les hôpitaux, les compagnies aériennes et les établissements d'enseignement supérieur.

Selon (lire ici)Les services des établissements d'enseignement supérieur britanniques, notamment les universités de Manchester, d'East Anglia, d'Oxford Brookes, de Lancaster et d'Aston, ont été touchés par la panne. Beaucoup d'autres Outre-Atlantique, les établissements scolaires ont également été touchés, avec des portails étudiants fermés et certains contraints de fermer leurs cours d'été. Si un incident similaire s'était produit pendant la période scolaire, les perturbations auraient pu être bien pires.

Construire la résilience

Les universités britanniques sont depuis un certain temps sur la défensive face aux acteurs malveillants. gouvernement97 % des établissements d’enseignement supérieur ont été victimes d’une violation ou d’une cyberattaque au cours de l’année écoulée, et six sur dix ont déclaré en avoir été victimes. La combinaison de réseaux distribués complexes et d’un grand nombre d’employés et d’étudiants qui ont besoin d’un accès ouvert à Internet crée une surface d’attaque étendue à défendre. Les ransomwares, le phishing, le vol de données soutenu par l’État et les escroqueries au vol d’informations sont monnaie courante. Et les pressions financières persistantes font qu’il est difficile pour les RSSI de prioriser les dépenses.

Les experts estiment néanmoins que l’incident CrowdStrike devrait servir de catalyseur à une discussion plus large sur la résilience informatique, qui va au-delà de la prévention, de la détection et de la réponse aux incidents informatiques malveillants. Selon Chris Gilmour, directeur technique de la société de services informatiques gérés Axians UK, la planification de tels événements doit s’accompagner des mesures de base habituelles de cyberhygiène, à savoir l’application de correctifs, l’authentification multifacteur (MFA) et la restriction de l’accès au réseau.

« Il est essentiel de tester régulièrement les plans de reprise après sinistre et les plans d'urgence pour les situations imprévues afin de garantir leur efficacité en cas de crise », explique-t-il à ISMS.online. « Il est également extrêmement important de favoriser une culture de sensibilisation à la sécurité parmi le personnel et les étudiants, qui peut aider à prévenir les violations et à atténuer leur impact. »

Le directeur technique de Trend Micro UK & I, Bharat Mistry, ajoute que les plans de continuité des activités de l'enseignement supérieur devraient couvrir l'informatique, la communication, l'accès aux données et l'enseignement.

« Ces plans doivent identifier les fonctions et systèmes critiques, décrire des procédures claires pour maintenir les opérations essentielles en cas de perturbations et définir les rôles et responsabilités des équipes d'intervention d'urgence, y compris les protocoles de communication pour les parties prenantes », explique-t-il à ISMS.online.

« Des exercices et des simulations doivent également être effectués régulièrement pour tester les plans de continuité des activités et identifier les faiblesses. Cela permet de s'assurer que le personnel est prêt à réagir efficacement en cas d'incident réel. »

Les responsables de la technologie et de la sécurité dans l'enseignement supérieur doivent également tenir compte de l'infrastructure informatique qu'ils utilisent. Mistry recommande des solutions basées sur le cloud pour garantir l'accessibilité, l'équilibrage de charge et le basculement afin de maintenir la disponibilité des services, ainsi que des architectures de cloud hybrides pour répartir les risques sur plusieurs environnements.

« Évitez de dépendre d’un seul fournisseur ou d’un seul système. La mise en œuvre de systèmes redondants et la diversification des services critiques peuvent contribuer à maintenir les opérations en cas de défaillance d’un système », ajoute-t-il. « Cela comprend l’utilisation de plusieurs solutions de cybersécurité de différents fournisseurs, la conservation de sauvegardes hors ligne des données et des systèmes critiques et la mise en œuvre de connexions réseau et d’alimentations électriques redondantes. »

Gilmour et Mistry préconisent également des analyses post-incident afin de s’assurer que les équipes informatiques tirent les leçons des failles de sécurité et des pannes graves. Ces analyses peuvent contribuer à « réaliser une analyse approfondie des incidents, à découvrir les causes profondes et à mettre en évidence les domaines dans lesquels il faut améliorer les processus » et à favoriser « une culture de responsabilité et d’apprentissage continu dans toute l’organisation », explique Mistry.

ISO 27001 et au-delà

La question est : par où commencer ? Les normes ISO 27001 et Cyber ​​Essentials sont bien connues de nombreux responsables informatiques et de sécurité comme des moyens d’améliorer la cybersécurité et la sécurité des informations de base. Mais alors que cette dernière se concentre sur les contrôles techniques des systèmes connectés à Internet pour minimiser les risques cybernétiques, la norme ISO 27001 offre sans doute davantage de fonctionnalités qui peuvent également être intégrées à la planification de la continuité des activités et de la reprise après sinistre.

Cela comprend des domaines clés tels que :

• Gestion des risques fournisseurs
• Réponse aux incidents
• Communication avec les parties prenantes/clients internes et externes
• Tests logiciels
• Entrainement d'employé

En utilisant la norme ISO 27001 comme point de départ, les organisations de l’enseignement supérieur pourraient renforcer leur cyber-résilience tout en jetant les bases d’une approche plus globale de la résilience informatique.

« En adoptant ces normes, les universités peuvent établir une approche systématique de la gestion des risques, de la réponse aux incidents et de la protection des données. Ces cadres offrent un ensemble complet de bonnes pratiques qui peuvent aider les organisations à identifier et à traiter les vulnérabilités, à améliorer leur résilience et à se conformer aux exigences réglementaires », explique Gilmour d'Axians UK.

« L’adoption et la mise en œuvre des processus et des politiques de ces normes signifient que les universités peuvent améliorer considérablement leur posture de cybersécurité et protéger leurs données et opérations sensibles. »

Mistry de Trend Micro ajoute que de nombreuses organisations commencent par Cyber ​​Essentials, puis s'appuient sur la norme ISO 27001 « plus complète » pour améliorer encore la sécurité et la résilience.

« Des référentiels comme ISO 27001 et Cyber ​​Essentials jouent un rôle crucial dans le renforcement de la résilience informatique et cybernétique, en offrant aux organisations un chemin structuré pour améliorer leurs pratiques de sécurité », conclut-il. « En exploitant ces référentiels, les organisations peuvent améliorer systématiquement leur capacité à prévenir, détecter, réagir et se remettre des cyberincidents, renforçant ainsi leur posture globale de cyber-résilience. »