Le National Cyber Security Centre (NCSC) du Royaume-Uni a lancé un sévère avertissement aux universités de tout le pays, exhortant ces dernières à agir pour prévenir les cyberattaques.
Le risque principal est, en fait, double. Il peut d’abord provenir d’attaquants qui cherchent à réaliser des gains financiers par le biais d'attaques souvent non ciblées. Dans le cas d’attaques ciblées, ces dernières « ont le potentiel d'avoir un impact financier plus important », souligne l'agence de cybersécurité.
« La cybercriminalité présentera probablement les difficultés les plus évidentes et les plus perturbatrices pour les universités », peut-on lire dans le document d'évaluation de cette menace.
Le rapport tire également la sonnette d'alarme sur une menace plus silencieuse, qui est « susceptible de causer des dommages à long terme plus importants » - les attaques et l'espionnage parrainés par l'État. Ces incursions visent un gain stratégique et visent le vol de propriété intellectuelle auprès d'institutions qui abritent des données de recherche et d'autres actifs précieux, ce qui explique en grande partie pourquoi elles se retrouvent dans le collimateur des cyberattaquants.
Pour se défendre contre les incursions, les universités sont priées de s'assurer qu'elles disposent d'une série de mesures de base. Cela comprend des politiques soucieuses de la sécurité et des mesures de contrôle d'authentification et d'accès stricts, ainsi que la garantie que les réseaux universitaires sont conçus en tenant compte des considérations de sécurité. Néanmoins, la toute première ligne de défense, comme l'indique le rapport, est « une bonne sensibilisation à la sécurité pour l’ensemble du personnel et des étudiants ».
Les techniques évoluent peut-être, mais, grâce à leur taux de réussite élevé, les attaques faisant appel à l'ingénierie sociale demeurent un élément de base. En effet, une équipe de pirates informatiques a récemment simulé des attaques dans plus de 50 universités au Royaume-Uni et, dans chaque cas, a mis la main sur des données de grande valeur en deux heures. Comme nous le soulignions à l'époque, la clé du taux de réussite de 100 % était le harponnage, une forme ciblée d'hameçonnage qui consiste à envoyer un courriel personnalisé à une victime potentielle bien documentée.
Voici une liste de mesures [en anglais] que nous recommandons aux établissements d'enseignement de mettre en œuvre, afin de se défendre contre les cyberattaques.