Sécurité des SI : Saison 2. La cybersécurité au coeur de la stratégie de l'ESRI
La collection numérique de l’Amue. Auteur Gilles Roussel, référent Numérique de France Universités et président de l’Université Gustave Eiffel.
La cybersécurité vue de l’Université
Formations des étudiants, sécurisation des SI, sensibilisation de la gouvernance, soutien de l’ANSSI. L ’université se donne les moyens de sa sécurité. Dans un monde toujours plus numérique, si les universités forment les experts de demain et explorent le sujet sous tous ses aspects, elles sont aussi confrontées à une recrudescence d’attaques cyber. Les attaquants se professionnalisant, il est crucial de renforcer les compétences de nos établissements en proposant davantage de formations en cybersécurité, et cela dans un délai contraint. Pour l’État, il s’agit également d’un enjeu pour l’ensemble de la population et les universités doivent s’adapter rapidement pour y répondre.
↘ L’IMPORTANCE DE FORMER ET D’INCLURE DAVANTAGE LES FEMMES
La filière cyber fait déjà face à un déficit de main d’oeuvre alors que la stratégie nationale de l’État est de créer 37 000 emplois supplémentaires d’ici 20251. L’adossement des formations à la recherche a permis aux universités d’identifier, en amont, la cybersécurité comme un enjeu essentiel, et des formations existent déjà dans de nombreux établissements. Comme à l’Université Bretagne Sud qui a fait de la cybersécurité une de ses spécialités et qui « est fière de contribuer à la formation de jeunes diplômés en cyber du Bac+3 au doctorat. L’université se met en ordre de marche pour former encore plus de compétences en formation initiale ou continue », assure Virginie Dupont, vice-présidente de France Universités et présidente de l’Université Bretagne Sud. Autre exemple du côté de l’Université de Poitiers, où a été mis en place une formation d’ingénieur visant à former des spécialistes. « Elle est basée sur une longue expérience en termes de gestion des risques », souligne Virginie Laval, présidente du Conseil de la formation, de la vie étudiante et de l’insertion professionnelle de France Universités et présidente de l’Université de Poitiers. Afin d’identifier les formations de qualité, le label SecNumEdu de l’ANSSI a été lancé en 2017. Il regroupe une grande partie d’entre elles (dont celles présentes à l’Université Bretagne Sud et à l’Université de Poitiers) avec 47 formations initiales et 30 formations continues. Mais une ombre au tableau persiste, dans l’ensemble des formations du territoire, les femmes représentent seulement 14 % des effectifs selon l’ANSSI, leur recrutement est donc une priorité pour les établissements qui adaptent leurs formations avec de nouvelles disciplines et compétences à acquérir par les étudiants.
↘ LES UNIVERSITÉS ET LES ÉCOLES VISÉES PAR LES CYBERATTAQUANTS
Le nombre d’attaques cyber est en augmentation notable ces dernières années (+37 % entre 2020 et 2021) et l’ANSSI considère que 15 % d’entre elles ciblent le milieu éducatif, dont les établissements d’enseignement supérieur et de recherche. Pour Gilles Roussel, référent numérique à France Universités et président de l’Université Gustave Eiffel, « la menace principale identifiée est l’attaque par rançongiciel, mais nous pouvons aussi être victimes de vol de données (de recherche, mais aussi de sujets d’examens) ou de tentative de modification des données de scolarité. La compromission initiale peut cibler n’importe quel compte des usagers de nos systèmes d’information, la plupart du temps par un simple mail d’hameçonnage. »
↘ FRANCE UNIVERSITÉS SE MOBILISE
France Universités s’est saisie de la question de la cybersécurité et en a fait une de ses priorités en 2023-2024, notamment avec de multiples actions de sensibilisation auprès de ses établissements membres, avec l’appui de l’ANSSI. Dans le cadre de son comité numérique, France Universités avait déjà formulé, en 2022, des recommandations pour sécuriser le système informatique des universités. « L’une d’entre elle était de mobiliser les moyens nécessaires aux services de sécurité des systèmes d’informations des établissements. En d’autres termes, et selon les recommandations de l’ANSSI, il faudrait prévoir 10 % des budgets informatiques dans les outillages, mesures et personnels dédiés à la sécurité », précise Gilles Roussel. Aujourd’hui, France Universités poursuit ces travaux avec l’ANSSI. Elle a également dispensé (récemment) à ses membres une formation « Enjeux de Cybersécurité pour nos établissements », dans le cadre de l’offre de formations proposée aux présidentes et présidents membres. L’objectif était « de sensibiliser nos membres aux enjeux de la cybersécurité et aux lourdes conséquences en cas d’attaque, explique Johanne Ferry-Dély, directrice du développement de France Universités. Mais aussi de partager les expériences et bonnes pratiques à mettre en place, afin de penser ensemble l’accompagnement des établissements. »
Pour en savoir +
UNIVERSITE BRETAGNE SUD (UBS) – Jack Noel, Responsable de l’institut Cyber Security Center UBS, et Virginie Dupont, Vice-présidente de France Universités et Présidente de l’Université Bretagne-Sud
Entreprenante et engagée, l’Université Bretagne Sud (UBS) a lancé dès 2012 son programme de cybersécurité. Pionnière, elle présente une offre complète combinant enseignement, recherche et entraînement à la gestion de crise ; l’établissement a notamment été l’un des premiers à se doter d’un « Cyber Range/Lab ». Elle poursuit cet engagement, dans le cadre du CMA CyberSkills4All, pour faire face aux défis de la formation et anticiper les besoins dans le domaine de la cybersécurité.
Tous les diplômes sont labellisés par l’ANSSI et référencés par l’ENISA (European Union Agency for Cybersecurity). Le programme pédagogique va du bac au doctorat, grâce aux deux IUT, l’Ecole d’ingénieurs (ENSIBS) et la Faculté des Sciences ; en formation continue, des solutions personnalisées pour les professionnels sont proposées. L’université forme annuellement en cybersécurité environ 600 étudiants, toutes filières confondues, ce qui la place parmi les premières en France sur ce critère. L’élan se voit renforcé par la construction d’un nouveau campus « Cybersécurité et Data Science » à compter de la rentrée 2025. De multiples partenariats se créent avec différentes organisations gouvernementales et entreprises dans une perspective permanente de formation et d’évaluation mutuelles. Des laboratoires de recherche et experts reconnus complètent le dispositif en y intégrant six axes : les systèmes embarqués, industriels et sociotechniques, la cyberdéfense, le big data et les facteurs humains.
Une université qui se veut innovante en cybersécurité se doit également d’être vertueuse en matière de protection des systèmes informatiques et des données personnelles de ses étudiants et de son personnel. Du chemin reste à parcourir, mais la dynamique est enclenchée. Une déléguée à la protection des données (DPD) a été nommée à temps plein, et une coordination mise en place entre le FSD, la DPD et la DSI/RSSI. De plus, une collaboration s’est établie entre la DSI et les filières de formation en cybersécurité de l’établissement. Pour donner deux exemples, une alternante en cyberdéfense a été intégrée à la DSI et un échange sur les meilleures pratiques concernant les SOC (Security Operation Center) initié. Tout ceci a contribué, entre autres, à la centralisation des journaux de connexions et la mise en place d’outils d’analyse et de détection d’anomalies.
Enfin, un « passeport confiance numérique » a été mis en place au bénéfice de l’ensemble de la communauté étudiante. Il s’agit d’un supplément au diplôme qui vise à sensibiliser aux enjeux du numérique, mais aussi à encourager l’engagement citoyen. Les étudiantes et étudiants pourront ainsi être des relais et des ambassadeurs auprès de leur entourage sur les risques liés au numérique.
LA ROCHELLE UNIVERSITE – Frederic Bret, Directeur du Système d’Information, et Jean-Marc Ogier, Président du Conseil des personnels et des moyens de France Universités et Président de La Rochelle Université.
L’identification et l’évaluation des risques pour le système d’information de l’université sont des étapes cruciales dans le processus de gestion de la sécurité.
Ces étapes permettent de prendre conscience des menaces qui pèsent sur les systèmes, d’évaluer leur impact potentiel et de mettre en place des stratégies adéquates pour les atténuer.
Fin 2023, un audit interne a été effectué pour évaluer la maturité du SI et choisir les différentes actions à mener pour les prochaines années.
Cela passe par de la sensibilisation auprès des utilisateurs, à la cartographie de notre SI pour identifier les données sensibles jusqu’à la politique de gestion des vulnérabilités.
Dans le cadre de la gestion de la sécurité de notre Système d’Information (SI), nous avons mis en œuvre des mécanismes sophistiqués de surveillance et de protection. Ces mécanismes sont conçus pour détecter, prévenir et atténuer les risques liés aux activités malveillantes, qu’elles ciblent le réseau ou les comptes d’utilisateurs.
Des outils de surveillance du réseau sont en place pour analyser en temps réel le trafic entrant et sortant. Des alertes sont déclenchées en cas de détection d’anomalies, permettant ainsi une réponse rapide aux menaces potentielles.
Des mécanismes de gestion des identités et des accès sont en place pour assurer un contrôle strict sur les comptes des utilisateurs. Les journaux d’activité des utilisateurs sont surveillés pour détecter toute activité suspecte ou des tentatives de compromission des comptes.
Les informations sur les menaces actuelles sont continuellement mises à jour, permettant une adaptation rapide aux nouveaux vecteurs d’attaques et aux vulnérabilités émergentes.
En mettant en œuvre ces mécanismes, nous nous efforçons de maintenir un niveau élevé de sécurité pour notre SI. Cependant, la sécurité est un effort continu, et nous encourageons tous les utilisateurs à rester vigilants, à signaler toute activité suspecte et à suivre les meilleures pratiques de sécurité de l’information.
Depuis novembre 2018, La Rochelle Université fait partie d’un groupe de DPO et RSSI de l’ESR de Nouvelle Aquitaine (DRENAQ). Il a été constitué suite à une étude sur la maturité de la politique de sécurité des établissements membres de la ComUE d’Aquitaine : ces établissements membres devant faire face à des problèmes semblables doivent mettre en commun leurs forces pour produire leur Politique de Sécurité des Systèmes d’Information (PSSI) et mener des actions communes dans le respect de leur contexte propre.
À ce jour, le groupe DRENAQ est animé par les DPO et RSSI des établissements suivants : Université de Bordeaux, Université Bordeaux Montaigne, Université de Pau et des Pays de l’Adour, La Rochelle Université, Bordeaux Sciences Agro, Bordeaux INP et Sciences Po Bordeaux
Dans un environnement de plus en plus numérique, l’établissement fait face à la nécessité de sécuriser les activités essentielles tout en opérant dans des contraintes budgétaires strictes. La quête de solutions de sécurité efficaces et économiques conduit de plus en plus d’établissements à explorer des options open source.
En embrassant ces solutions, l’université peut réaliser des économies budgétaires tout en renforçant la sécurité des activités essentielles de leur établissement.