Kov case study banner 1
Case study

l’Enseignement catholique flamand

Pursuant to the pressure of the increasing number of phishing emails in 2020, the umbrella organisation for Catholic Education drew up an internal phishing simulation. The result showed that there were some sore points. Ces tests ont mis en avant quelques points de vulnérabilité.


Fiche descriptive

23 employés
Test de base
35% phished
L'enseignement catholique en Flandre est l'organisation qui chapeaute les écoles catholiques en Flandre.

« Nous avons observé un doublement des e-mails de phishing reçus par nos membres en mai 2020 par rapport au même mois un an plus tôt », explique Peter Declerck, collaborateur au Point de contact pour la sécurité de l’information. « Cela s’est malheureusement reflété dans le nombre d’établissements touchés. Jamais auparavant un si grand nombre d’écoles n’avaient été les victimes de hackers. »

Pour Peter Declerck, le phishing demeure un phénomène sous-estimé par le monde de l’enseignement. Responsable des formations en matière de RGPD et de cybersécurité dans les établissements scolaires, il assiste quelque 600 directions d’écoles en Flandre et constate que ces thèmes ne sont pas toujours suffisamment pris en compte : « Comme souvent, les gens doivent d’abord faire une mauvaise expérience pour se rendre compte à quel point ils sont vulnérables. »

Expérience

« C’est la raison pour laquelle nous avons soumis nos collègues à une simulation. Ils ont fait face à une tentative d’hameçonnage et ont pu découvrir concrètement quelles étaient les conséquences en cas de réussite d’une telle attaque. 35 % des destinataires ont ainsi cliqué sur le lien proposé dans la simulation, soit plus que la moyenne de 20 %. « Ce test a provoqué une certaine agitation, bien qu’il ne s’agissait en fait que d’une simulation et que les données et les systèmes n’étaient pas vraiment en danger. Les utilisateurs se sont immédiatement inquiétés. Notre service informatique a rapidement été submergé de questions. »

« L’onde de choc a continué à se propager par la suite », ajoute Peter Declerck. « Nos collaborateurs sont désormais beaucoup plus vigilants. Depuis, ils ont pu reconnaître et signaler diverses tentatives de phishing. Tout le monde comprend maintenant la facilité avec laquelle les pirates peuvent agir. »

Casestudy kov schoolbuilding

La mine d’informations de l’enseignement

Les écoles visées par une attaque, au ransomware par exemple, se tournent parfois vers le Point de contact pour la sécurité de l’information (AIV). Peter Declerck entre ainsi en contact avec différents risques et problèmes numériques. « Malgré des contextes spécifiques, il est frappant de constater que les problèmes sont souvent similaires. Et le dénominateur commun est généralement le manque de temps, d’argent et de ressources ».

« Tout le monde fait le maximum pour protéger au mieux les écoles, le personnel et les élèves, mais il y a une limite à ce qu’il est possible de réaliser avec des ressources finies. Pourtant, les institutions scolaires sont des mines d’informations. Chaque école gère les données personnelles de très nombreuses personnes. De quoi attirer les hackers. »

Nos collaborateurs sont désormais beaucoup plus vigilants. Depuis, ils ont pu reconnaître et signaler diverses tentatives de phishing.

« Et il ne s’agit pas simplement d’une rançon rémunératrice », déclare Peter Declerck. « Mettre la main sur les données des étudiants et des élèves, c’est aussi avoir une emprise sur la vie de ceux-ci, alors qu’ils sont dans une phase vulnérable de leur développement. C’est la porte ouverte vers la discrimination, le harcèlement ou le vol d’identité… »

Whitepaper Book Cover Phished ENG
Download the free ebook

Download our free ebook on phishing in education

Conformité au RGPD

Les campagnes massives qui tentent de faire un maximum de victimes constituent toujours les menaces numériques les plus courantes. Les attaques de spear phishing se font toutefois plus fréquentes. Peter Declerck : « Un directeur qui envoie un message à son employé administratif pour lui demander de vérifier une facture. Rien de plus normal, et pourtant le message est malveillant… Les pirates informatiques envoient des e-mails plus ciblés, sur base des informations qu’ils ont trouvées dans des fichiers du personnel. Si la tentative est fructueuse, les conséquences sont immédiatement beaucoup plus importantes. »

Peter Declerck et ses collègues ont donc ajouté un volet supplémentaire aux formations qu’ils dispensent. « Nous nous concentrons principalement sur la conformité des écoles aux RGPD. La cybersécurité fait néanmoins partie intégrante de cette conformité. Dix articles du RGPD en font même explicitement mention. Si une école fait face à une perte de données, elle doit la signaler de manière appropriée aux autorités de contrôle compétentes. En effet, une telle fuite est souvent le résultat d’un piratage informatique. Il est donc important de s’attaquer à la source du problème. »

Kov case study thumbnail

Et cela va empirer

« Les écoles doivent vraiment rester sur leurs gardes, car les circonstances actuelles sont propices à une intense digitalisation qui ne faiblira plus jamais », confirme Peter Declerck. « Regardez par exemple la proposition de Ben Weyts, le Ministre flamand de l’Enseignement. Il veut que chaque élève dispose d’un ordinateur portable et d’internet, afin que tous bénéficient d’un même accès à une éducation de qualité. C’est un objectif noble et nécessaire. Mais pour y arriver, il faut aussi que les écoles évoluent. Si elles ne le font pas, cela posera des problèmes, tôt ou tard. »

« Il convient également d’inclure les étudiants dans les campagnes de sensibilisation. Lorsqu’ils apportent leurs propres appareils à l’école, ils mettent sans le vouloir en danger les systèmes et les réseaux, inconscients des dangers qui menacent. C’est par une information dès le plus jeune âge que l’on pourra étouffer le problème dans l’œuf. »

Partager l’information

Pour Peter Declerck, les institutions qui ont été touchées par une attaque doivent également se positionner : « Comme l’a fait l’Université de Maastricht, avec un bel exemple de communication de crise. L’institution a communiqué clairement sur les événements, et sur les modalités de sa réaction. Elle a partagé ses connaissances afin que d’autres établissements puissent mieux s’armer. »

« Les organisations se taisent trop souvent lorsqu’elles sont confrontées à ces accidents numériques. C’est dommage. Il convient, autant que possible, de partager l’information pour que nous puissions tous mieux nous préparer, développer les bonnes pratiques et ainsi éviter des catastrophes qui seront, à l’avenir, plus nombreuses et plus graves. S’il est douloureux de subir un piratage informatique, vous ne devriez vraiment pas en avoir honte », conclut Peter Declerck. « Car tout le monde est vulnérable, tout le monde peut en être victime. »