Support technique
Documentation
Connexion
Nous contacter
Moderniser la gestion des vulnérabilités dans les établissements d'enseignement supérieur
Le 18 janvier 2023 - L'équipe de relations publiques de TuxCare
Les collèges et les universités sont fortement ciblés par les cybercriminels qui cherchent à exploiter les vulnérabilités et à tromper les membres du personnel pour infecter les systèmes avec des logiciels malveillants, des logiciels espions et des rançongiciels. Afin de protéger leurs données sensibles, ces institutions doivent appliquer des correctifs aux vulnérabilités découvertes dans les logiciels qu'elles utilisent.
Cependant, les équipes informatiques ont souvent du mal à suivre le rythme des correctifs, car les vulnérabilités sont découvertes à un rythme rapide. De plus, le fait de mettre les systèmes Linux hors ligne pour qu'ils exécutent le redémarrage nécessaire au déploiement d'un correctif signifie que les fenêtres de maintenance doivent être annoncées, ce qui représente un temps d'arrêt que personne ne souhaite gérer.
Heureusement, il existe des technologies que les équipes informatiques ou SecOps des collèges et universités peuvent exploiter pour accélérer leurs délais d'application des correctifs Linux et minimiser les temps d'arrêt liés aux correctifs, quelle que soit la combinaison de distributions Linux qu'elles utilisent.
Les pirates informatiques continuent de cibler les universités
Les universités mondiales et nationales sont la cible d'acteurs malveillants, qu'il s'agisse de criminels ordinaires ou de groupes de cyberattaques parrainés par des États. Les établissements d'enseignement supérieur stockent souvent les informations personnelles de leurs étudiants et de leurs professeurs, ainsi que des données de recherche précieuses, au risque que ces informations soient volées et vendues sur le marché noir ou prises en otage dans une attaque par ransomware.
Bien que l'enseignement supérieur soit de plus en plus conscient de ces cyberdangers, le secteur est confronté à des défis croissants en matière de budgets et d'expertise interne en matière de cybersécurité.
Le ministère américain de la sécurité intérieure a évalué l'état de la cybersécurité par secteur d'activité et a découvert que les établissements d'enseignement supérieur se situaient dans les derniers rangs. Ce problème ne se limite pas aux États-Unis. Selon un rapport publié en juillet 2022 par le gouvernement britannique, 92 % des établissements d'enseignement supérieur de ce pays ont subi une attaque ou une intrusion au cours de l'année précédente.
Les cybermenaces de l'intérieur
Les actifs de l'enseignement supérieur comprennent des données de recherche et des informations personnelles appartenant aux étudiants, au corps enseignant et aux donateurs. Alors que les pirates externes et les cybercriminels continuent de développer des méthodes d'attaque plus sophistiquées pour accéder à ces précieuses données et les voler, les universités sont également confrontées à un vecteur d'attaque particulièrement difficile : les menaces internes.
Les programmes universitaires autour de l'informatique, de la physique et de l'ingénierie deviennent un bourbier à double tranchant. L'université apprend aux étudiants à devenir des ingénieurs en logiciels, des ingénieurs en cybersécurité et des architectes de réseau, mais, dans le même temps, elle leur fournit les compétences nécessaires pour devenir de meilleurs pirates informatiques par la suite.
Les pirates peuvent également utiliser un ransomware avec l'aide d'un élève de l'école. De nombreux étudiants se font souvent extorquer par des pirates externes par le biais d'attaques de phishing par e-mail.
Pour répondre à cette préoccupation croissante concernant les menaces internes, de nombreuses universités ont commencé à créer des réseaux de micro-segmentation et des laboratoires basés sur le cloud au lieu des plateformes d'enseignement traditionnelles sur site. Le fait d'isoler les systèmes d'enseignement et d'apprentissage des systèmes universitaires centraux, notamment les finances, la recherche et les données relatives aux étudiants, réduit la surface d'attaque des étudiants pirates. Toutefois, ce moyen de dissuasion a encore peu d'espoir de réduire les tentatives d'attaque des étudiants et des membres mécontents du corps enseignant.
Violations de la sécurité dans l'enseignement supérieur
De nombreuses universités et établissements de recherche stockent des informations confidentielles non publiques, qu'il s'agisse de secrets industriels concernant des produits à venir ou d'études militaires classifiées. Les cybercriminels recherchent ces informations pour diverses raisons.
Exemple 1 : L'université de Zagreb était confrontée à une menace importante. À l'instar d'autres établissements d'enseignement, des cybercriminels tentaient d'accéder à des données confidentielles issues de la recherche militaire et attaquaient constamment les réseaux des centres de données de l'université.
Exemple 2 : L'université de Suffolk a signalé une violation de données aux bureaux du procureur général de plusieurs États lorsqu'ils ont découvert qu'un utilisateur non autorisé avait accédé à des informations sur les étudiants et les avait extraites, notamment des passeports, des permis de conduire et des dossiers financiers.
Exemple 3 : Le Sierra College a informé le procureur général du Montana d'une violation de données causée par une attaque de ransomware contre l'école. Cette violation a permis aux pirates d'accéder à des données personnelles, notamment les noms, adresses et dossiers médicaux de certains étudiants et employés.
Exemple 4: En 2022, Collège Knox a subi une attaque par ransomware visant les systèmes financiers de l'université. Cet incident marque le premier cas connu aux États-Unis dans lequel les pirates ont utilisé leur accès pour contacter directement les étudiants afin de les intimider et de les extorquer.
Outre les données de recherche et les données personnelles sensibles appartenant aux étudiants et au personnel, les établissements d'enseignement hébergent des informations sensibles sur les donateurs provenant de contributeurs privés, d'entreprises mondiales et d'organismes gouvernementaux. Les cybercriminels tentent continuellement de voler ces données sensibles en exploitant des vulnérabilités connues et inconnues - et une violation de ces informations pourrait affecter les inscriptions futures et les opportunités de financement.
La protection des données de recherche est essentielle pour les filières de subventions universitaires
Les subventions de recherche constituent une source essentielle de financement de l'enseignement supérieur aux États-Unis. De nombreuses institutions, entreprises et agences gouvernementales proposent de financer les universités pour la construction de nouveaux laboratoires et centres scientifiques, offrant ainsi une expérience concrète aux professeurs et aux étudiants. L'université acquiert une reconnaissance internationale et attire des étudiants de haut niveau grâce aux subventions.
Les données créées grâce aux subventions de recherche deviennent une propriété intellectuelle mutuellement partagée par l'université et la source de financement. Cette propriété intellectuelle peut créer une future manne financière pour l'université.
Les attaques de cybersécurité peuvent affecter de manière significative les subventions actuelles et futures si l'université subit des violations de données ou des violations de la confidentialité des données. Les institutions et les agences gouvernementales exigent souvent que les universités adhèrent à des régimes de conformité en matière de confidentialité des données avant de recevoir tout financement. De nombreuses sources de financement exigent périodiquement des universités qu'elles se soumettent à une évaluation des risques de cybersécurité par un tiers et à des tests de pénétration afin de valider tous les contrôles adaptatifs de sécurité nécessaires en place.
Quelles sont les conformités que doivent respecter les établissements d'enseignement supérieur ?
Les systèmes d'enseignement supérieur collectent et stockent diverses formes d'informations, notamment des données financières et de recherche. Toutes les données stockées relèvent d'un mandat de conformité ou de confidentialité qui oblige l'université à respecter des règles de sécurité strictes.
- De nombreuses universités traitent les transactions par carte de paiement et stockent les données des cartes de paiement appartenant aux étudiants.
- Les établissements d'enseignement supérieur mèneront des recherches pour des entreprises publiques et privées nécessitant une protection étendue des données et un contrôle d'accès restrictif.
Voici deux conformités auxquelles les universités devront probablement se conformer :
Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)
Dans l'ensemble du système universitaire et de l'enseignement supérieur, les cartes de paiement sont désormais acceptées pour tout, du paiement des frais de scolarité à l'achat d'articles à la librairie de l'école, en passant par l'achat de nourriture et de boissons au café du campus. Les universités qui acceptent les cartes de paiement doivent se conformer aux exigences de la norme PCI DSS. Les pirates et les cybercriminels ciblent les systèmes de paiement des universités, en particulier ceux qui sont confiés à des fournisseurs tiers. En s'attaquant à ces fournisseurs, les pirates peuvent toucher plusieurs universités en une seule attaque.
En 2021.des pirates ont violé le système de cartes de crédit de la librairie des étudiants de l'université de Boston. Ils ont affecté l'université de Boston et d'autres établissements d'enseignement supérieur en attaquant le fournisseur tiers de traitement des cartes de crédit.
Les correctifs, une nécessité pour la conformité PCI
L'exigence 6.2 de la norme PCI DSS consiste à protéger tous les composants du système et les logiciels contre les vulnérabilités connues en installant les correctifs de sécurité applicables du fournisseur. Il doit mettre en œuvre tous les correctifs dans les 30 jours suivant la publication d'un CVE sur un système hôte de traitement des cartes de paiement.
Les organisations s'en remettent souvent à l'application de correctifs uniquement pour les CVE critiques afin de réduire les temps d'arrêt de leurs plateformes de traitement des paiements. Cependant, quel que soit le niveau de risque interne, les auditeurs PCI tiendront l'organisation responsable de l'application de la norme PCI 6.2, quel que soit le niveau de risque.
Pour se conformer plus facilement aux exigences de la norme PCI DSS en matière de correctifs, les établissements d'enseignement supérieur et les universités peuvent automatiser leur cycle de vie des correctifs et éviter complètement les temps d'arrêt liés aux correctifs en mettant en œuvre une solution de correctifs en direct. Le live patching déploie les correctifs CVE pendant que les systèmes Linux sont en cours d'exécution afin que les organisations n'aient pas besoin de redémarrer, et ces correctifs peuvent être automatisés afin que les équipes informatiques puissent minimiser le temps qu'elles consacrent aux correctifs.
Avec une approche de correction en direct, la correction des vulnérabilités peut être un élément supplémentaire de la conformité PCI qui est mis en pilote automatique afin que le personnel de l'université puisse consacrer plus de temps à d'autres tâches essentielles.
NIST 800-171
Les universités et les établissements d'enseignement supérieur désignés comme des installations de recherche recevant des subventions du gouvernement fédéral doivent se conformer à la norme NIST 800-171.
La norme NIST 800-171 s'applique aux informations contrôlées non classifiées (CUI) partagées par le gouvernement fédéral avec une entité non fédérale. Dans l'enseignement supérieur, le gouvernement fédéral partage souvent des données avec des établissements à des fins de recherche ou dans le cadre de l'exécution du travail des agences fédérales.
Dans le cadre de la norme NIST 800, la section de maintenance, ou MA, détaille des étapes spécifiques exigeant des organisations qu'elles suivent un flux de travail recommandé pour l'application de correctifs aux systèmes :
MA 3.7.1
Tous les systèmes, dispositifs et applications utilisés par une organisation doivent être maintenus conformément aux recommandations du fabricant en matière de correctifs logiciels ou aux calendriers de mise à jour des systèmes définis par l'organisation.
MA-6 : Entretien en temps opportun
Les organisations identifient les composants des systèmes qui, s'ils ne fonctionnent pas correctement, peuvent créer un risque pour les opérations et les actifs, les individus, les autres organisations et le pays. Pour y remédier, elles doivent disposer d'une capacité de correction et de remédiation pour mettre à jour tous les systèmes, quel que soit leur emplacement.
MA-7 Maintenance sur le terrain (informatique décentralisée)
Une fois qu'un système ou un composant est sur le terrain, l'organisation devrait effectuer toute la maintenance logicielle et matérielle pour s'assurer qu'il répond aux normes du fournisseur et de l'industrie. Les universités doivent faire très attention à l'application de correctifs aux systèmes, même dans un environnement décentralisé. De nombreux petits départements universitaires créeront leurs bases de données, leurs instances de cloud et leurs systèmes d'identité tout en exposant le réseau de l'ensemble de l'université à un risque plus important.
Simplification de la correction des vulnérabilités pour NIST 800-171
L'application de correctifs aux systèmes critiques hébergeant des données de recherche dans le centre de données ou le nuage de l'université est essentielle pour maintenir la conformité avec la norme NIST 800-171. Les universités soucieuses de patcher les systèmes de recherche de production tout en s'attendant à de longues interruptions de service peuvent également adopter une approche de patching en direct pour réduire le temps d'arrêt qu'elles doivent planifier - et éviter les redémarrages liés aux patches. L'utilisation de correctifs en temps réel réduira également le risque que l'institution soit exploitée par une éventuelle attaque de type "zero-day".
Pourquoi Tuxcare ?
Les cyberattaques et les pertes de données sont des menaces constantes pour le secteur de l'éducation, qui est souvent classé parmi les industries les plus touchées par la cybercriminalité. Compte tenu de l'énorme volume de données de recherche sensibles, il est essentiel que les établissements d'enseignement supérieur et les universités corrigent rapidement les vulnérabilités qui mettent leurs actifs en danger.
Les solutions automatisées de TuxCare de TuxCare protègent les systèmes Linux en éliminant rapidement les vulnérabilités sans que les organisations aient besoin d'attendre les fenêtres de maintenance ou les temps d'arrêt.
Avec TuxCare, les équipes SecOps, DevSecOps et les équipes informatiques générales des collèges et des universités peuvent automatiser le passage des nouveaux correctifs par les étapes de mise en scène, de test et de production sur toutes les distributions Linux populaires tout en évitant les temps d'arrêt et les redémarrages liés aux correctifs.
TuxCare offre également le live patching pour les bibliothèques partagées, les bases de données, les environnements de machines virtuelles et les appareils IoT. De plus, le live patching de TuxCare peut couvrir toutes les distributions Linux d'entreprise populaires, contrairement à de nombreuses alternatives de live patching qui ne sont fonctionnelles que pour une seule distribution.
Programmez une conversation avec l'un de nos experts pour obtenir une explication personnalisée sur le fonctionnement de l'automatisation des correctifs en direct de TuxCare.
