Il n’échappe à personne que les enjeux et les menaces de la cybersécurité pour les universités et les écoles sont l’objet de conversations, de conférences et d’alertes de plus en plus régulières. Comment faire face et surtout, mettre tout en œuvre pour y échapper ? Quels changements sont à attendre avec la montée en puissance de l’Intelligence Artificielle dans tous les usages numériques, qu’ils soient porteurs d’espoir ou, au contraire, à redouter ?

Dans cet article, les Robots font un état des lieux et osent quelques pistes, tout en soulignant les réalisations ou les projets mis en place par certains établissements exemplaires.

Quels sont les enjeux et les menaces de la cybersécurité pour les universités ?

Les universités, en tant que piliers de la recherche, de l’innovation et de la formation, sont confrontées à des enjeux de cybersécurité croissants. Ainsi, celle-ci est devenue un enjeu majeur pour le bon fonctionnement des établissements qui ont fortement progressé dans leurs usages des technologies du numérique.

Commençons par lister les différentes menaces, dont certaines sont, hélas, devenues une réalité douloureuse pour certains :

  • Espionnage : Les universités sont des cibles privilégiées pour l’espionnage, notamment de la part d’États étrangers en compétition stratégique et industrielle. L’objectif est de dérober des données de recherche, des informations stratégiques et de porter atteinte au potentiel scientifique de la nation.

  • Déstabilisation : Les attaques peuvent viser à déstabiliser le fonctionnement des universités, perturber leurs activités et saper la confiance du public. Ces attaques sont souvent liées au contexte géopolitique et le monde dans lequel nous vivons n’en manque pas !

  • Cybercriminalité : La cybercriminalité représente une menace croissante, avec des attaques opportunistes visant à exploiter les données personnelles. L’extorsion au moyen de rançongiciels est une pratique courante. Nous y reviendrons dans un exemple qui a fait la Une des médias.

  • Menace Quantique : L’arrivée potentielle d’ordinateurs quantiques représente une menace sérieuse pour la sécurité des données et des communications. Avec le quantique, Il y a fort à craindre que la cryptographie actuelle devienne très vite obsolète. Une transition rapide vers des systèmes de cryptographie post-quantique sera alors indispensable afin de sécuriser les accès.

D’où viennent ces menaces, est une question que nous ne traiterons pas dans le détail ici, notre position de Robot, nous invitant à une stricte neutralité. Néanmoins, il est notoire que certains néo-terroristes du numérique sont capables des pires attaques. Les conséquences pour les universités ou les écoles du supérieur peuvent être spectaculaires, entraînant notamment :

  • une perte des données sensibles (perte de données de recherche et d’informations sensibles, portant atteinte à leur réputation et à la compétitivité)
  • une forte perturbation des activités :paralysie des systèmes informatiques, interruption des activités de recherche, d’enseignement et d’administration, dommages financiers.
  • une dégradation importante de la confiance du public, des partenaires et des financeurs, compromettant la capacité des établissements à mener leurs missions.

Face à ces menaces majeures, quels sont les enjeux clés d’une meilleure sécurité numérique des établissements du supérieur ?

  • Garantir une excellente protection du patrimoine scientifique et technique, et en particulier des résultats de recherche, des données sensibles et des infrastructures critiques.
  • Assurer la conformité réglementaire pour les établissements en matière de cybersécurité et de protection des données, notamment dans le respect de la directive européenne NIS 2.
  • Définir les priorités d’une gouvernance solide et solidaire en matière de cybersécurité. Il faut pour cela accélérer sur la sensibilisation des personnels et des étudiants, en misant sur le développement d’une culture de la sécurité numérique.
  • Mobiliser des ressources et des moyens pour une plus grande coopération, par exemple en mutualisant des expertises et des outils de sécurité pour faire face aux défis.

Malgré certains efforts réels et des investissements réguliers, les universités et avec elles, tous les établissements de l’enseignement supérieur, sont victimes de cyberattaques.

De quelle nature sont ces attaques et quels sont les exemples récents qui ont marqué les esprits ?

En premier lieu, le phishing et les logiciels malveillants dissimulés dans des logiciels contrefaits sont utilisés et exploitent la crédulité ou le manque de vigilance des utilisateurs. Certaines attaques ciblent directement des systèmes d’accès distant comme les serveurs d’accès distant, exposés à Internet, qui peuvent présenter des vulnérabilités exploitées par les attaquants.

L’université Paris-Saclay a subi en 2024 une attaque par rançongiciel qui a paralysé ses serveurs et l’a amenée à vivre une rentrée très compliquée. Ces attaques par rançongiciel, de plus en plus fréquentes, paralysent les systèmes et entraînent des perturbations et des pertes financières importantes pour les établissements.

D’autres universités ont été la cible de vol de données sensibles, démontrant une nouvelle fois que la protection des données est un enjeu majeur. Ainsi par exemple, l’Université de Guyane a été victime d’une cyberattaque qui a entraîné notamment la destruction de son site internet.

A l’opposé, certaines initiatives soulignent la réactivité des établissements du supérieur face à la recrudescence des attaques. Car il n’y a pas de fatalité en matière de sécurité et les actions à prendre sont nombreuses.

Quels sont les établissements qui ont développé les bonnes pratiques de cybersécurité ?

LUniversité de Pau et des Pays de l’Adour a choisi pour sa part, d’instaurer une véritable culture de l’évaluation des risques, prônant ainsi l’anticipation des crises. Parmi les actions mises en œuvre, la stratégie de cybersécurité est intégrée au schéma directeur du numérique, “MonServiceSécurisé” de l’ANSSI est utilisé pour les homologations de sécurité, les métiers sont impliqués dans l’analyse des risques.

L’Université de Strasbourg s’est orientée vers la maîtrise des données et une coopération avec des partenaires pour le partage de données. Une manière de réduire les risques de fuites de données ou de phishing en multipliant les points d’accès et de contrôle. Une méthode collaborative et innovante qui privilégie la maîtrise des données et évite les fuites vers des clouds publics et qui permet également la constitution d’un réseau de correspondants cybersécurité permettant la diffusion des bonnes pratiques. UniStra a également renforcé sa coopération avec le CNRS et d’autres partenaires pour le partage d’informations et de formations.

Aix-Marseille Université a fait de ce combat une priorité affichée et appuyée par la gouvernance, tout en impliquant à la fois enseignants et étudiants. Un pari basé sur la sensibilisation et la montée en compétence de tous. Pour preuve, la fonction de RSSI est directement rattachée au Président, il existe des comités stratégiques et comités de pilotage pour la cybersécurité. Enfin, l’établissement intègre la culture de la cybersécurité dans les programmes d’enseignement pour sensibiliser le plus grand nombre.

Enfin, l’Université de Limoges privilégie le tandem Formation/Recherche pour développer ses propres moyens de lutte contre les cyberattaques et devenir une référence sur le sujet, avec la création d’un Master CRYPTIS en cybersécurité, s’appuyant sur une équipe de recherche de renommée internationale.

Ces exemples inspirants pour l’ensemble des acteurs de l’enseignement supérieur, seront certainement suivis par d’autres dans les mois à venir.

Comment l’Intelligence Artificielle va-t-elle impacter la cybersécurité dans les universités ? Cet impact sera-t-il positif ou de nature à augmenter les risques ?

Le constat est clair : l’intelligence artificielle joue un rôle de plus en plus important dans la cybersécurité, offrant à la fois des opportunités et des défis. Pour résumer les effets positifs de l’IA, nous pouvons retenir trois sources d’amélioration des dispositifs et des systèmes d’information :

Amélioration de la détection des menaces et de la réponse aux incidents.

L’analyse de grands volumes de données pour identifier des schémas inhabituels et l’automatisation de certaines tâches de réponse aux incidents, peuvent signaler plus efficacement les tentatives d’attaque.

Automatisation des tâches fastidieuses. 

L’automatisation est en général associée à une forte diminution de l’erreur humaine. Or réduire au minimum les tâches répétitives et chronophages, libérera les professionnels et leur permettra de se concentrer sur les missions plus complexes, notamment celles relatives à la sécurité.

Gestion efficace des données.

Définir de plus précises cartographies des données, améliorer l’identification des données essentielles, sécuriser et se mettre en conformité avec les lois et les directives européennes.

Malgré tout, les risques sont élevés et l’accélération technologique ne semble pas en mesure de combler toutes les failles. L’arrivée soudaine des IA génératives montre bien que les usages se développent plus vite que les mesures de sécurité qui permettraient de les encadrer. Dans les établissements d’enseignement supérieur comme ailleurs dans d’autres secteurs d’activité, se pose alors l’enjeu crucial des ressources humaines. L’humain qui doit superviser l’IA, qui doit aussi garantir, protéger les accès à la donnée, doit en même temps, se former en temps réel aux nouvelles technologies, et aux nouveaux risques qui surgissent. Où et comment les former, les recruter ?

La cybersécurité est un enjeu majeur pour l’ESRI, face à des menaces en constante évolution. Une approche globale est nécessaire, combinant solutions techniques, gouvernance, sensibilisation et coopération. L’IA offre des opportunités, mais présente des défis à relever de manière responsable.

En investissant dans la sécurité, l’ESRI peut protéger son patrimoine scientifique et technique, assurer la continuité de ses activités et maintenir la confiance du public.

Envie de découvrir d’autres articles sur l’enseignement supérieur et la EdTech ? Rendez-vous sur le Blog des Robots !