La sécurité dans le secteur de l’éducation - une opportunité pédagogique pour les VAR et MSP

  Posted On   By Bitdefender Entreprises France   Cybersécurité pour les entreprises

De même que dans d’autres secteurs, les fournisseurs de services infogérés (MSP) et les revendeurs à valeur ajoutée (VAR) ont une formidable occasion de partager leur expertise sur les menaces de sécurité et leurs solutions avec des clients du secteur de l’enseignement. Mais ils ont besoin de comprendre précisément les besoins des responsables de sécurité et les obstacles particuliers auxquels les institutions sont confrontées dans cet environnement.

Les défis de l’éducation

L’enseignement supérieur peut présenter un défi particulier lorsqu’il s’agit de protéger des informations. Peu d’environnements offrent aux utilisateurs finaux autant de liberté que ne le font les universités et les écoles quant aux appareils mobiles qu’ils peuvent utiliser, et à la façon dont ils les utilisent. Le Bring Your Own Device (BYOD) est fondamentalement un mode de vie sur de nombreux campus, du moins pour les étudiants.

Ce n’est pas nécessairement une mauvaise chose, et en matière de support du BYOD et du concept du « everything-as-a-service », l’enseignement supérieur pourrait en fait être en avance sur de nombreuses entreprises. Fournir les services recherchés par les utilisateurs (les élèves mais aussi les professeurs) via le cloud peut constituer une approche proactive pour éviter le Shadow IT, susceptible d’entraîner un grand nombre de problèmes de sécurité et de gestion.  

Cas client : Découvrez pourquoi le lycée Saint-Nicolas protège ses élèves grâce à Bitdefender Small Office Security

Pour contribuer au renforcement de la sécurité, les responsables informatiques de l’enseignement supérieur ainsi que des écoles maternelles, des primaires et des collèges et lycées doivent mettre en place des outils de sécurité afin de contrôler l’accès au réseau et élaborer des directives pour la protection de leurs appareils. Mais il faut savoir également qui a installé les derniers logiciels antimalwares et si un appareil présente un risque pour la sécurité globale d’une institution.

Ce n’est pas toujours une mince affaire mais c’est justement dans ce cas qu’une politique et une stratégie de sécurité fiables sont utiles. Malheureusement, de nombreuses institutions ont des lacunes dans ce domaine.

L’enseignement menacé

Selon l’étude initiale de sécurité de l’Institut SANS dans les établissements de l’enseignement supérieur, ce secteur présente plusieurs problèmes dont le manque de pratiques d’évaluation des risques, l’existence de données non classifiées et non gérées et un personnel et des moyens insuffisants consacrés à la sécurité.

L’étude de SANS Institute, organisation d’éducation et de recherche coopérative de la sécurité des informations, a été réalisée auprès de presque 300 professionnels de l’information du secteur de l’éducation qui ont répondu à des questions sur le défi que constitue la protection de leurs environnements tout en conservant la liberté dont ont besoin les universités, le personnel, les étudiants et les bienfaiteurs dans les milieux scolaires classiques.

Seulement 45% des institutions interrogées ont déclaré avoir mis en place des stratégies officielles d’évaluation et d’élimination des risques. La situation est pire dans les institutions plus petites puisque SANS Institute indique que seulement 31% d’entre elles disposent de ce type de stratégies. Toutes les personnes interrogées ont affirmé que leur institution devait protéger différentes informations nominatives sur différents types de réseau,  avec souvent des exigences contradictoires en matière de protection de la vie privée. Elles ne sont que 57% à classifier leurs données sensibles et à fournir des directives pour un traitement sûr des données et encore moins nombreuses (55%) à définir des rôles propriétaire, utilisateur et administratif adaptés.

Un secteur à la traîne

Selon l’étude, les moyens alloués au personnel et au budget de la sécurité des informations sont les principales causes de la protection insuffisante des données confidentielles. Alors que 64% des personnes interrogées considèrent avoir besoin de personnel supplémentaire, 43% ne pensent pas être en mesure de payer le prix fort les compétences dont elles ont besoin. Environ les trois-quarts affirment ne pas pouvoir conserver ou augmenter les effectifs de leur service informatique.

Une autre étude contient des données révélatrices quant à l’éducation et la sécurité. Le rapport, « The Global State of Information Security Survey 2015 » a été réalisé par le cabinet PwC et les magazines CIO et CSO après avoir interrogé 9 700 cadres commerciaux et techniques du monde entier entre mars et mai 2014.  On leur a demandé d’indiquer le nombre d’incidents de sécurité qu’ils avaient détectés au cours des 12 derniers mois.

Plus d’une personne interrogée sur cinq (22%) du secteur de l’enseignement/associatif ne savait pas répondre à cette question, ce qui est nettement plus élevé que la moyenne de 10% tous secteurs confondus. Ce rapport a également demandé aux participants d’estimer l’origine probable des incidents de sécurité. Ils ont été bien plus nombreux parmi le secteur de l’éducation à déclarer l’ignorer : presque un tiers contre 18% en moyenne dans tous les autres secteurs.

Ces données du rapport PwC pourraient n’avoir aucune signification particulière. Mais elles peuvent également indiquer que de nombreuses institutions éducatives ne sont pas aussi bien équipées pour surveiller les incidents de sécurité que d’autres types d’entreprises.  

Conclusion

La sécurité des informations dans le secteur éducatif ne se limite pas à protéger les données et à éviter les menaces pour empêcher les pertes.Les institutions doivent respecter les réglementations gouvernementales réglant les problèmes de sécurité et de protection de la vie privée.

Les enjeux de la sécurité des données dans le secteur éducatif sont grands. Cela offre aux revendeurs à valeur ajoutée et aux fournisseurs de services infogérés l’opportunité de proposer leur savoir-faire dans le domaine de la sécurité ainsi que des solutions efficaces.

Cet article a été écrit par Robert Krauss.