Les étudiants comme les enseignants doivent avoir confiance dans la fiabilité et l'intégrité de leur éducation. Alors comment les enseignants peuvent-ils faire face aux menaces de sécurité croissantes liées à l'introduction et à la prolifération des évaluations électroniques et de l'apprentissage à distance ?
La décision rapide prise par les organismes d'éducation du monde entier de passer à l'apprentissage en ligne a exacerbé les problèmes de sécurité préexistants et fait apparaître de nouvelles questions relatives à la vie privée des étudiants, qui n'ont fait que se développer à l'ère de l'"apprentissage numérique". Le fait de devoir pivoter en si peu de temps a considérablement réduit le temps que les écoles pouvaient consacrer à la planification et à la recherche, et de nombreux éducateurs ont dû "se débrouiller" avec des solutions eLearning qu'ils pouvaient mettre en place rapidement.
Cette adoption rapide de logiciels, bien que nécessaire, a provoqué un un pic d'attaques de cybersécurité sur l'éducation comme l'a publié le K-12 Security Information Exchangeun organisme à but non lucratif qui suit les incidents survenus dans le secteur de l'éducation, exposant ainsi les étudiants et le personnel à un risque d'exploitation.
Quels sont les risques de sécurité croissants pour les étudiants qui passent des évaluations en ligne ?
On ne peut nier le rôle crucial que la technologie a joué ces dernières années pour soutenir et transformer le paysage de l'apprentissage tel que nous le connaissons. Mais il va sans dire que toute adoption d'un nouveau logiciel éducatif introduit intrinsèquement de nouveaux risques de sécurité. Parmi les risques les plus courants pour la sécurité et la confidentialité des données des étudiants liés à l'apprentissage en ligne figurent les suivants :
Ransomware
Les rançongiciels sont des logiciels malveillants qui empêchent l'utilisateur, en l'occurrence les élèves, d'accéder à des systèmes d'évaluation ou à des bases de ressources protégés et aux données qu'ils contiennent. En général, les données sont cryptées, mais elles peuvent aussi être supprimées ou volées, ou l'ordinateur lui-même peut être rendu inaccessible. Cela peut conduire à la perte de travaux d'élèves, à l'exploitation de l'identité des élèves et de leurs dossiers financiers, ainsi que de tout dossier médical pouvant se trouver sur le réseau de l'école.
Mouvement latéral et recherche de privilèges
Au cours de cette attaque, le délinquant navigue généralement à l'intérieur et autour du réseau. Ce faisant, il apprend à augmenter ses privilèges et à identifier les systèmes de grande valeur tout en dissimulant sa présence. L'objectif de cette attaque est généralement au nombre de trois : saboter et récolter les données de sauvegarde, crypter des serveurs virtuels entiers et déployer d'autres ransomwares. Si un attaquant obtient l'accès aux données de sauvegarde, il aura libre cours aux informations concernant les étudiants et le personnel. En chiffrant les serveurs virtuels, les attaquants peuvent perturber les processus d'apprentissage ou supprimer l'accès à des ressources spécifiques, ce qui peut être très préjudiciable non seulement à la sécurité des données d'un étudiant, mais aussi à sa confiance dans les systèmes qu'il utilise, et donc à son éducation.
Invasion de classe/réunion
Il s'agit d'une violation particulièrement désagréable pour les étudiants et les enseignants, qui devient de plus en plus fréquente. Dans ce cas, l'attaquant aura obtenu l'accès à une salle de réunion virtuelle, à une session d'évaluation ou même à une session de tutorat privé. Il se dévoile alors pour causer de la détresse et perturber une classe, souvent en tenant des discours haineux, en utilisant des images, des sons ou des vidéos choquants ou en proférant des menaces violentes. Au cours de ces attaques, les délinquants peuvent également profiter de ce moment pour récolter d'autres informations sur les élèves, comme des noms ou des adresses IP.
Attaques par déni de service
Les attaques de réseau distribué ou attaques par déni de service distribué (DDoS) tirent parti des limites de capacité spécifiques qui s'appliquent à toute ressource du réseau - comme le formulaire d'un site Web, les paramètres d'une salle de réunion ou les limites d'une session d'examen. L'attaque DDoS envoie alors de multiples requêtes à la ressource web attaquée - dans le but de dépasser la capacité prévue pour traiter de nombreuses requêtes, empêchant ainsi les systèmes de fonctionner correctement. Kaspersky a constaté que le nombre d'attaques ayant affecté les ressources éducatives a augmenté de 550% en janvier 2020 par rapport à janvier 2019.
Comment atténuer ces risques en classe ?
La première étape pour réduire les risques potentiels est de s'assurer que vos étudiants sont bien informés des possibilités. En améliorant les connaissances en matière de cybersécurité eLearning et de menaces potentielles, vous encouragez une culture d'apprentissage perspicace qui peut aider les étudiants à repérer les risques et à se corriger lorsqu'ils ne respectent pas les réglementations.
La sensibilisation et la mise en œuvre de pratiques d'hygiène de base en matière de cybersécurité pour les élèves et le personnel constituent une autre étape pour réussir à atténuer les risques de cybersécurité. Il peut s'agir de sessions de formation destinées aux étudiants et au personnel sur la manière d'interagir en toute sécurité avec leur écosystème d'appareils et de logiciels personnels, privés et appartenant à l'école, en abordant l'utilisation des réseaux privés virtuels et les meilleures pratiques en matière de mots de passe.
La troisième mesure que vous pouvez prendre consiste à garantir que les systèmes que vous avez mis en place sont adaptés à l'objectif visé et qu'il n'y a pas de lacunes dans votre armure de cybersécurité. Pour ce faire, vous pouvez faire l'inventaire des logiciels et des systèmes actuels dont vous disposez. Par exemple, il serait avantageux pour vos étudiants d'avoir accès aux éléments suivants :
- un antivirus intensif sur tous les appareils personnels et ceux appartenant à l'école
- Systèmes de gestion des mots de passe pour promouvoir des mots de passe sûrs et sécurisés
- Authentification multifactorielle lors de l'accès à des informations sensibles
- Une base de rapports, où ils peuvent signaler au personnel les menaces potentielles, telles que des courriels inhabituels ou des tentatives de connexion forcée.
Qu'avons-nous appris de l'année écoulée ?
L'éducation du personnel et des étudiants est cruciale pour protéger la sécurité des données des étudiants dans le cadre de l'apprentissage en ligne. À mesure que nous progressons, l'éducation doit aller de pair avec l'adoption de systèmes d'apprentissage en ligne adaptés et spécialement développés, optimisés en fonction de la sécurité afin de prévenir les attaques futures. En créant des systèmes qui soutiennent les étudiants, en utilisant des logiciels pertinents et en informant les étudiants de leur responsabilité en matière de cybersécurité, vous pouvez renforcer la confiance de vos pairs et créer un environnement d'apprentissage plus sûr.
