Les établissements d'enseignement supérieur sont confrontés à un véritable défi en matière de cybersécurité. Ces institutions stockent d'énormes volumes de données concernant non seulement leurs étudiants, mais aussi leurs professeurs, leurs anciens élèves, leurs parents et leurs donateurs. En cas de violation d'une université, un seul dossier d'étudiant contient une vue complète de la vie de l'étudiant, y compris des données démographiques, des dossiers universitaires, des dossiers médicaux et des données financières. La menace est réelle. Début 2019, Georgia Tech a révélé qu'elle était la cible d'une cyberattaque visant les informations personnelles de jusqu'à 1,3 million d'étudiants actuels et anciens, d'employés et de futurs étudiants. C'est là que la gestion de la sécurité et des risques (SRM) entre en jeu.
Qu'est-ce que la gestion des risques de sécurité ?
Selon le cabinet Gartner : " La gestion de la sécurité et des risques (SRM) de nouvelle génération dans l'enseignement supérieur se concentre de plus en plus sur la confiance de l'utilisateur final et, par conséquent, va au-delà des principes fondamentaux de résilience et de contrôle central. La personnalisation croissante met l'accent sur l'utilisation éthique des données qui nécessite le contrôle et le consentement du corps enseignant, du personnel et des étudiants. Les responsables SRM sont des facilitateurs clés de ce nouveau niveau d'activité numérique personnalisée." En d'autres termes, il s'agit d'un processus continu d'identification des risques de sécurité et de mise en œuvre de plans pour y remédier. Et ces attaques n'ont pas que des conséquences numériques. La société numérique est un mélange de monde virtuel et physique. Par exemple, une cyberattaque dans une aciérie allemande a causé des dommages importants, car les attaquants ont pu accéder au contrôle du système de l'usine et ont déclenché une explosion.
Comment créer un MRS pour l'enseignement supérieur
Le Ponemon Institute, un cabinet de recherche sur la cybersécurité, a indiqué que chaque dossier perdu ou volé a coûté en moyenne 246 dollars aux établissements d'enseignement l'année dernière. Et il ne s'agit pas seulement des étudiants, car les universités fonctionnent comme une petite ville, avec des départements d'exploitation, de recherche, de santé, de finances et de transport.
Une bonne stratégie SRM se concentre sur l'identification des menaces ayant le plus fort impact. Selon un article d'Educause, il existe trois types différents de catégories de menaces/risques : élevé, modéré et faible.
Alors par où commencer pour créer un plan ? Tout d'abord, considérez la sécurité comme un sport d'équipe. Gartner recommande de : " Mettre en œuvre des politiques et des pratiques de sécurité efficaces et largement soutenues dans votre établissement en créant un groupe de planification et de gouvernance complet. Ce groupe doit être composé de diverses parties prenantes, notamment des étudiants, du corps enseignant, des services financiers, juridiques et des RH, qui envisagent des programmes pour atténuer les risques, instaurer la confiance, protéger la vie privée des étudiants et utiliser les données de manière éthique."
Gartner recommande ensuite "d'identifier objectivement les points forts et les lacunes de vos plans de sécurité actuels en utilisant une variété de cadres (tels que le National Institute of Standards and Technology, l'Organisation internationale de normalisation/Commission électrotechnique internationale 27001/27002, COBIT et ITIL) ou des fournisseurs tiers pour évaluer l'état actuel de votre programme."
Troisièmement, vous devez investir dans la formation à la cybersécurité des étudiants, des enseignants et du personnel. Quelle que soit la stabilité et la sécurité de votre réseau et de votre infrastructure, il y a toujours une chose à prendre en compte : le facteur humain. Le meilleur exemple de ce phénomène est le phishing ou son équivalent plus sophistiqué, le spear-phishing. Les harponneurs se déguisent souvent en sources ou en entités de confiance qui demandent une tâche simple, comme payer une facture ou répondre à un courriel.
Le Gartner poursuit en recommandant "d'adopter des politiques de sécurité et de confidentialité qui permettent aux professeurs, au personnel et aux étudiants de contrôler les données personnelles qui sont collectées et les bases légales sur lesquelles le traitement est effectué.
Enfin, vous devez évaluer les pratiques et les méthodes actuelles de collecte et de stockage des données institutionnelles.
Contraintes
Comme pour tout ce qui concerne l'enseignement supérieur, il existe forcément des contraintes en matière de sécurité et de gestion des risques. Qu'il s'agisse de financements limités, de réglementations et de lois, de la recherche de talents ou de la gouvernance. Il existe de nombreux facteurs à prendre en compte lors de la mise en œuvre d'un plan de gestion des risques de sécurité. Pourtant, si ces facteurs ne sont pas pris en compte et traités, les cyberattaques contre les universités seront de plus en plus fréquentes et dommageables. Relever ce défi nécessite une planification stratégique et une réflexion sur la cybersécurité.
Une solution consiste à mettre en œuvre un BPM pour gérer les flux de travail et les processus internes. Assurez-vous que votre fournisseur de logiciel de BPM a également la sécurité en tête de ses priorités. Il doit avoir des plans clairement définis pour le cryptage des données, l'authentification des utilisateurs, la sécurité des applications, la sécurité des systèmes internes, la sécurité des systèmes d'exploitation, la sécurité des bases de données, la sécurité de la gestion des serveurs, la fiabilité et la sauvegarde, et la reprise après sinistre. En outre, assurez-vous que votre solution BPM dispose d'ingénieurs professionnels expérimentés et de spécialistes de la sécurité dédiés à la protection des données et des systèmes.