Comment protéger vos données contre les fraudeurs

La rentrée scolaire est à nos portes et les cybercriminels préparent activement leurs attaques à coups de maliciels, rançongiciels, tentatives d’hameçonnage et de déni de service. L’année 2019 a vu tripler le nombre de cyberattaques (en anglais) dans les institutions scolaires, une hausse qui pourrait se maintenir dans la dernière portion de 2020.

De façon plus large, depuis 2016, ce sont 942 incidents de cybersécurité (en anglais) qui ont été rapportés aux États-Unis par des écoles publiques de la maternelle à la 12e année. Les cybercriminels ont l’habitude de cibler les écoles pour mettre la main sur les informations personnelles des professeurs, des étudiants et de leurs parents. En considérant qu’une seule brèche peut se traduire en une perte de données et l’annulation de classes, les enjeux ne pourraient être plus sérieux.

Pour les fraudeurs, les écoles sont une cible idéale parce qu’elles recèlent une mine d’informations personnelles qui sont rarement protégées par des pratiques en cybersécurité aussi rigoureuses que celles des entreprises privées. Également, de nombreuses institutions d’enseignement gèrent des budgets considérables que les entités malveillantes sont impatientes d’exploiter.

Cybersécurité et rentrée scolaire vont de pair, et il est important de comprendre les menaces qui planent sur les données de vos employés et de vos étudiants, et de minimiser les facteurs de risque au moyen d’information sur la sécurité. La clé pour comprendre ces facteurs de risque est d’analyser les brèches de données antérieures.

Les brèches en cybersécurité dans les institutions précollégiales : ce qui s’est produit en 2019 

La situation de la cybersécurité en 2019 dans les institutions précollégiales : un rapport (en anglais) dresse le bilan et donne de l’information précieuse sur les brèches de données dévoilées publiquement par des écoles à travers les États-Unis. Au cours de 2019, le rapport dénote 348 incidents de sécurité, notamment des brèches de données, des rançongiciels, des attaques par déni de service distribué, des maliciels, des attaques d’hameçonnage, et des fraudes d’ingénierie sociale.

La divulgation non autorisée ou les brèches de données représentent jusqu’à 60,06 % des incidents. Les rançongiciels suivent à 17,82 %, et les autres incidents totalisent 12,93 %. Les tentatives d’hameçonnage ont été plus rares, à 8,05 % et les fraudes les moins fréquentes, à 1,15 %, ont été les attaques par déni de service.

Mais si les tentatives d’hameçonnage se sont avérées moins courantes, elles n’en ont pas été moins dévastatrices et l’une d’entre elles a entraîné la perte de 3,7 M$ dans une école de district du Kentucky. Typiquement, les tentatives d’hameçonnage impliquent que les assaillants tentent de détourner les paies des employés et les paiements des sous-traitants dans leurs comptes personnels.

Le rapport a révélé que l’information est la cible principale des assaillants, qui tentent de voler de l’information pouvant leur servir ultérieurement pour commettre des vols d’identité et frauder. Les principaux constats du rapport sont que la cybersécurité et la préparation pour la rentrée scolaire sont étroitement liées, et que les enseignants doivent être au fait d’une grande variété d’attaques courantes.

Leçons tirées de brèches de données scolaires antérieures 

1.    Les écoles sont une cible de choix pour les cybercriminels 

Le volume élevé d’attaques démontre qu’il est essentiel pour les écoles de se protéger des cyberattaques avec la même rigueur que les entreprises privées. Investir dans des anti-virus et anti-maliciels abordables est incontournable pour protéger les systèmes.

2.    Les enseignants ont besoin de plus de formation en sécurité

Pour bien connaître les menaces en TI, les professeurs et autres employés scolaires doivent être à jour sur les nouveaux risques en sécurité pour savoir comment réagir judicieusement en cas de brèches de données, de maliciels et d’hameçonnage.

3.    Méfiez-vous des attaques d’hameçonnage 

Les cybercriminels ciblent les écoles avec des tentatives d’hameçonnage conçues pour manipuler les enseignants et les pousser à fournir de l’information personnelle et fiscale. Reconnaître les signes d’une attaque d’hameçonnage est critique pour bien l’identifier lorsqu’elle survient.

Conseils de cybersécurité pour le retour en classe

Pour optimiser la cybersécurité lors du retour en classe, enseignants et employés ont besoin d’une combinaison d’éducation et de solutions en sécurité des TI pour avoir une chance de se défendre contre des fraudeurs toujours plus habiles. Voici quelques conseils pour conserver vos systèmes en sécurité durant la prochaine session scolaire :

1.    Gardez à jour vos logiciels

La mise à jour régulière de vos logiciels permet d’éliminer des vulnérabilités que les fraudeurs peuvent exploiter pour lancer des attaques par rançongiciels. Les correctifs que vous apportez à vos logiciels et à vos appareils évitent que quiconque puisse accéder à vos systèmes sans votre autorisation.

2.    Installez des logiciels anti-virus et anti-maliciels  

Les anti-maliciels et anti-virus bloqueront les programmes malveillants visant à infecter vos appareils scolaires. Recherchez ceux offrant des mises à jour automatisées, l’analyse anti-virus et un soutien anti-hameçonnage pour resserrer vos défenses.

3.    Choisissez des mots de passe forts

En choisissant des mots de passe forts, vous rendez la tâche beaucoup plus difficile aux cybercriminels qui voudraient s’introduire dans vos comptes et portails institutionnels. Encouragez vos employés à créer des mots de passe formés de mots qui ne figurent pas dans le dictionnaire, et combinant des lettres majuscules et minuscules, des chiffres et des symboles pour réduire considérablement les chances de réussite d’une tentative de fraude. Il est également très important d’activer l’authentification multifacteurs si vous devez accéder à votre réseau à distance.

4.    Organisez des sessions de formation en sensibilisation à la sécurité

Les cyberattaques se raffinent constamment, et les formations en sensibilisation à la sécurité et à l’hameçonnage pour les employés et les enseignants leur procureront les habiletés nécessaires pour déceler des tentatives d’hameçonnage et d’ingénierie sociale. Si votre institution mène des recherches, il pourrait être judicieux d’élargir ces formations pour englober vos étudiants.

5.    Désignez des ambassadeurs en cybersécurité à l’interne  

Choisissez plusieurs personnes volontaires ayant un intérêt envers la cybersécurité pour en faire des ambassadeurs, et instaurez un programme de formation et de mentorat pour renforcer leur connaissance des risques et des meilleures pratiques. Une fois que les premiers participants auront obtenu leur certification, suivez leur progrès pour identifier des zones d’amélioration.

6.    Évitez de cliquer sur des liens ou fichiers joints aux courriels  

Cliquer sur les liens ou les fichiers qui accompagnent les courriels provenant d’expéditeurs inconnus pose un risque, puisque l’ouverture d’un lien ou fichier malveillant joint à un courriel peut activer l’installation d’un maliciel. Il est important de rappeler fréquemment aux employés et aux enseignants comment vérifier que l’expéditeur d’un courriel est légitime avant de cliquer sur quoi que ce soit.

En résumé

Le retour en classe offre de nouvelles opportunités d’apprentissage pour les étudiants (et les enseignants!), mais elle expose également leurs informations à des entités malveillantes. La pandémie mondiale a été propice aux fraudeurs en leur donnant tout le temps nécessaire pour développer de nouvelles escroqueries et des logiciels nuisibles. L’éducation est la clé pour se doter des outils nécessaires pour faire face à un contexte où les menaces évoluent rapidement.

Pour protéger vos données, un programme de sensibilisation à la sécurité est l’arme principale de votre stratégie de défense. Une sensibilisation proactive à la sécurité procure une connaissance des méthodes utilisées par les cybercriminels et des meilleures pratiques pour protéger vos informations et vos systèmes.

La quête d’un contenu éducationnel approprié sur la sécurité en ligne peut s’avérer frustrante et fastidieuse. Avec l’abondance d’information disponible de nos jours, il peut être difficile de cerner l’information importante pour vous et votre organisation.

Heureusement, il existe une façon. Si vous recherchez des définitions, des exemples, des conseils et des astuces pour reconnaître les nouvelles cybermenaces et y échapper, assurez-vous de consulter le tout nouveau Hub de la cybersécurité qui regorge de contenus amusants, facilement partageables, et parfaits pour la salle de classe.

Inscrivez-vous dès maintenant!

 


Cybersecurity Hub

Hub de la Cybersécurité: accédez à du contenu exclusif

Inscrivez-vous maintenant pour accéder à un contenu de sensibilisation à la cybersécurité engageant, facilement partageable et disponible dans plusieurs formats.