Jared Vichengrad

Les défis en matière de cybersécurité dans les secteurs de l'administration et de l'éducation ne sont pas nouveaux. Ils sont montés en flèche avec la COVID et se poursuivent aujourd'hui. Malheureusement, la cyberdéfense des services gouvernementaux et éducatifs critiques n'a pas toujours suivi le rythme, de sorte que nous constatons toujours des risques liés à plusieurs vulnérabilités courantes, en particulier pour les écoles. Mais grâce à des outils gratuits permettant de détecter les vulnérabilités en matière de sécurité de l'identité, ainsi qu'à de nouvelles possibilités de financement et de soutien, les écoles et les commissions scolaires peuvent améliorer considérablement leur position en matière de sécurité en 2023.

Pourquoi les cyberattaquants s'en prennent-ils aux écoles primaires et secondaires ?

Selon le Multi-State Information Sharing and Analysis Center (MS ISAC), 29 % des membres d'écoles interrogés ont été victimes d'une cyberattaque en 2021. Les cyberattaques contre le Los Angeles Unified School District en septembre dernier ont conduit à une mise en garde de l'administration fédérale américaine contre une augmentation des attaques de ransomware dans le secteur de l'éducation.

Pourquoi cibler les écoles ? Il existe plusieurs facteurs potentiels :

  • Les écoles et les commissions scolaires hébergent de grandes quantités de données personnelles et financières.
  • Faisant partie des infrastructures critiques du pays, les écoles sont soucieuses d'éviter les longs temps d'arrêt.
  • L'augmentation des infrastructures à distance liée à la pandémie a ouvert des portes aux attaquants.
  • Des ressources limitées peuvent se traduire par des lacunes dans les mesures de cybersécurité.

Le groupe Vice Society (auteur de l'incident de Los Angeles) est connu pour utiliser l'escalade des privilèges et l'accès à un administrateur de domaine pour mener des attaques de double extorsion, dans lesquelles les acteurs de la menace volent des données et injectent des logiciels malveillants ou des ransomwares dans les systèmes ciblés. Ces exploits reposent sur l'infiltration d'Active Directory (AD), le service d'annuaire qui constitue le cœur de l'infrastructure d'identité de nombreuses commissions scolaires.

Pourquoi AD est-il une cible si attrayante pour les cyberattaquants ?

  • AD est la clé d'accès aux comptes d'utilisateurs et d'ordinateurs dans l'ensemble de votre organisation.
  • Les environnements AD sont connus pour leur « dérive de configuration », dans laquelle des autorisations d'accès et des comptes d'utilisateurs obsolètes ouvrent des brèches dans la surface d'attaque AD.
  • De nombreux attaquants injectent des logiciels malveillants ou des ransomwares des semaines ou des mois avant de les déclencher, infectant ainsi les sauvegardes du système et rendant la récupération plus difficile.
  • Les nouvelles attaques sont capables de contourner les mesures de sécurité traditionnelles ou de s'y soustraire.

Comment les écoles peuvent-elles améliorer la sécurité axée sur l'identité ?

La meilleure défense contre une cyberattaque est de se concentrer sur un solide plan de résilience opérationnelle. Un tel plan vous prépare à la reprise si le pire se produit. Une stratégie de résilience opérationnelle solide inclut tous les systèmes critiques, tels que l'infrastructure d'identité, y compris AD et Azure AD. La protection de ces systèmes permet au gouvernement et à l'éducation de maintenir les services qu'ils fournissent aux électeurs et aux étudiants.

L'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) conseille aux écoles d'investir dans les mesures de sécurité les plus efficaces, notamment en réduisant les vulnérabilités connues, en mettant en place et en testant des sauvegardes et en exerçant régulièrement un plan d'intervention en cas d'incident. Il s'agit notamment de prendre des mesures pour « minimiser l'exposition aux attaques courantes ».

« La gestion des risques liés à la cybersécurité doit être élevée au rang de priorité absolue pour les administrateurs, les surintendants et les autres dirigeants de tous les établissements scolaires », note la CISA. « Les dirigeants doivent adopter des approches créatives pour obtenir les ressources nécessaires, notamment en tirant parti des programmes de subvention disponibles, en travaillant avec les fournisseurs de technologie pour bénéficier de services et de produits à faible coût qui sont sécurisés par conception et par défaut, et en réduisant d'urgence le fardeau de la sécurité en migrant vers des environnements cloud sécurisés et des services gérés fiables. »

Outils et ressources pour la cybersécurité axée sur l'identité des élèves

Donner la priorité à la reconstitution des forêts dans le cadre de vos plans de résilience cybernétique et opérationnelle est une mesure vitale que les écoles (et toutes les organisations étatiques, locales et éducatives) peuvent prendre dès aujourd'hui pour se protéger durablement contre les cybermenaces en constante évolution. La bonne nouvelle, c'est que des fonds et un soutien sont disponibles pour mener à bien cette mission. Le State and Local Cybersecurity Grant Program et la CISA offrent des subventions et d'autres ressources.

Même sans financement supplémentaire, les écoles peuvent bénéficier d'outils gratuits de découverte des vulnérabilités AD et des chemins d'attaque, tels que Purple Knight et Forest Druid. Ces outils, qui ne nécessitent aucune installation ou autorisation d'accès particulière, sont conçus spécifiquement pour détecter les vulnérabilités d'AD et d'Azure AD. Ces outils fournissent des rapports faciles à lire et des conseils pratiques pour combler les lacunes en matière de sécurité AD. Purple Knight identifie également les indicateurs de compromis (IOC), c'est-à-dire les signes que les attaquants ont peut-être déjà pénétré dans l'infrastructure AD.

TÉLÉCHARGEZ PURPLE KNIGHT ET FOREST DRUID

En ce qui concerne les sauvegardes et la réponse aux incidents, la meilleure approche consiste à maintenir et à tester régulièrement les sauvegardes spécifiques à AD et à élaborer un plan détaillé de récupération d'AD. Recherchez des outils experts de détection et de réponse aux menaces des systèmes d'identité (ITDR) tels que Semperis Directory Services Protector (DSP) et Active Directory Forest Recovery (ADFR), qui offrent une protection de niveau supérieur :

  • Sauvegardes AD exemptes de logiciels malveillants
  • Remédiation automatisée aux changements suspects
  • Récupération rapide des forêts AD (90 % plus rapide que les méthodes de récupération manuelle)
  • Services de réponse aux incidents 24 h/24 et 7 j/7

Une décision intelligente : agir maintenant pour protéger l'AD

Les cyberattaquants ne montrent aucun signe de ralentissement de leurs attaques contre les écoles et autres organisations étatiques, locales et éducatives. Les écoles et les commissions scolaires qui élaborent un plan de réponse aux incidents cybernétiques, qui téléchargent et utilisent des outils gratuits pour détecter et combler les vulnérabilités AD et qui cherchent à financer des solutions de cybersécurité plus avancées seront bien placés pour repousser ces menaces et protéger les élèves et le personnel.

En savoir plus sur les écoles et la sécurité fondée sur l'identité