Sécurité des espaces numériques de travail (ENT) : Nicole Belloubet convoque tous les acteurs pour un plan anti cyber-malveillance
À la demande de Nicole Belloubet, ministre de l’Éducation nationale et de la Jeunesse, une réunion sur la sécurité numérique en milieu scolaire a été convoquée ce jeudi 28 mars, à la suite d’une vague de menaces et d’alertes à la bombe véhiculées par des comptes usurpés sur les messageries de plusieurs outils numériques utilisés par les établissements scolaires.
Rassemblant les équipes du ministère, les services académiques, les représentants des collectivités territoriales gestionnaires des équipements ainsi que les différents éditeurs des outils numériques concernés, cette réunion présidée par la ministre a permis de dresser un état des lieux des actes de cyber-malveillance intervenus ces derniers jours, de rappeler les bonnes pratiques à adopter en prévention et en riposte, mais aussi de définir une feuille de route partagée visant, à court et moyen termes, à mieux sécuriser les espaces numériques de travail et les logiciels de vie scolaire.
Rappelant la priorité donnée à la sécurité des élèves et des personnels, et donc aux levées de doutes chaque fois que cela est nécessaire, la ministre a insisté sur la nécessité de rappeler les bonnes pratiques nécessaires et de se doter d’un environnement numérique plus robuste, tout en soulignant les conséquences pénales auxquelles s’exposent toutes les personnes usurpant le compte d’un élève ou d’un personnel pour proférer de telles menaces.
Ces incidents amènent ainsi à rappeler d’indispensables principes de sécurité :
- ne jamais saisir son mot de passe à la suite de la réception d’un lien dans un courriel (mesure anti-hameçonnage ou phishing) ;
- ne jamais conserver des mots de passe de manière non sécurisées (fichier texte, post-it), ni dans un navigateur internet (les dérobeurs de mots de passe ou stealers utilisent souvent ces fonctions) ;
- se méfier des logiciels dont l’origine n’est pas garantie, lorsqu’il n’est pas diffusé par son éditeur officiel (ils peuvent être le vecteur pour installer des logiciels malveillants comme des stealers) ;
- s’assurer de disposer d’un anti-virus à jour et ne jamais le désactiver ;
- mettre régulièrement à jour ses applications et équipements.
Lors des incidents des dernières semaines, des mesures efficaces ont été mises en œuvre dès la réception de messages frauduleux, en particulier par le fait de couper ou de restreindre l’accès à la messagerie pour faire cesser l’attaque.
Pour empêcher des attaques supplémentaires massives et après avoir pris contact avec les représentants des régions et des départements, Carole Delga et François Sauvadet, la ministre a décidé de suspendre préventivement les messageries des espaces numériques de travail dans les établissements scolaires.
En parallèle et à court terme, la ministre a demandé aux établissements et collectivités de prévoir des actions supplémentaires, notamment en s’appuyant sur la période des vacances de printemps, propice à des mesures de riposte et d’anticipation de futurs actes malveillants :
- Une affiche préparée par le ministère, rappelant les conseils de base pour lutter contre le piratage informatique, sera diffusée dans tous les établissements ;
- Mettre en œuvre une sensibilisation des utilisateurs aux mesures de bonne hygiène numérique, visant prioritairement le hameçonnage et les dérobeurs de mot de passe ;
- Initier des mesures plus générales de renouvellement et de renforcement des mots de passe ;
- Organiser un blocage, le cas échéant, de tous les messages provenant de messageries externes ;
- Restreindre les droits d’envoi de message au sein de l’ENT au strict nécessaire, puisque seuls les personnels administratifs et de direction de l’EPLE peuvent envoyer des messages à l’ensemble des élèves et parents d’élèves.
À moyen terme, et notamment dès la rentrée 2024, des mesures supplémentaires seront prises à plus grande échelle, académie par académie et en lien avec les collectivités, notamment pour renforcer les modalités d’authentification sur les outils numériques relevant de l’Éducation nationale.
Mise à jour : mars 2024