Archives par mot-clé : école

Assurer la sécurité informatique sans brider

Dans un contexte où la cybersécurité devient un élément très important dans le développement des organisations, le responsable de sécurité de systèmes d’information de l’établissement saignement supérieur HEC Paris mets en avant la nécessité de pouvoir assurer la sécurité informatique mais seulement des étudiants mais aussi du personnel enseignant et des employés des établissement éducatifs et académiques.

Cet article va aussi vous intéresser : Les menaces informatiques et le comportement des maisons d’assurance

Comme nous le savons, le secteur de l’éducation et aussi frappé de plein fouet par la multiplication des attaques informatiques. En effet les pirates informatiques n’hésitent pas à attaquer des universités ou des centres de formation. C’est d’ailleurs dans ce contexte, que les organisations se dotent de responsable de sécurité de système d’information pour faire face à la menace toujours grandissante. C’est d’ailleurs le cas de HEC Paris qui en 2019 instaure le poste de responsable de sécurité de système d’information, Olivier Nerrand, qui est le premier à occuper ce poste.

Les responsables de sécurité des systèmes d’information travaillent dans des univers assez différents les uns des autres. En effet, si certaines tâches se rapprochent, et je n’en demeure pas moins que chaque organisation à sa spécificité. Il collabore généralement avec l’équipe informatique la direction des systèmes informatiques qui a à HEC est composé de 27 personnes.

Quand au périmètre, il est très large dans ce contexte plus qu’ici le responsable de sécurité de système d’information devra assurer la protection de prêt de 1 000 ordinateurs utilisés par les salariés de l’établissement, sans oublier 5 000 ordinateurs qui sont utilisés par les étudiants de leur côté et qui sont connectés régulièrement au réseau, ainsi « qu’une centaine de serveurs répartis dans un datacenter sur site et dans le cloud, et deux campus (en France et au Qatar) ». Il faut aussi prendre en considération les 60 000 comptes d’utilisateurs qui appartiennent aux anciens diplômés. Dans cette situation, la tâche de responsable de sécurité des systèmes d’information s’observe sur plusieurs plans. Dans notre cas, Olivier Nerrand est chargé de définir une politique de sécurité informatique pour l’ensemble des systèmes informatiques.  Il veille aussi à la mise en application de cette politique mais aussi participe à la sensibilisation et à la formation du personnel et les étudiants sur les questions de cybersécurité. « Par rapport à une entreprise traditionnelle, la spécificité de la sécurité informatique à HEC Paris est celle de tous les établissements d’enseignement supérieur : protéger sans brider la créativité inhérente à l’excellence académique et à la recherche », souligne ce dernier.

Dans une approche objective, les établissements d’enseignement sont soumis à des dangers et on les spécificités propres. Et cela même si ce sont les mêmes attaques de type rançongiciel qui les affectent. « Je n’échappe pas à cette angoisse, et le risque est élevé avec l’accroissement du nombre et de la sophistication des attaques informatiques », note Olivier Nerrand.

Cependant ce n’est pas le seul problème qui doit inquiéter le responsable de sécurité système d’information. « La menace qui m’inquiète le plus est celle liée à l’espionnage. Faire partie des meilleures écoles au niveau mondial, avec des chercheurs de premier plan, entraîne des attaques utilisées pour l’espionnage à des fins économiques ou scientifiques. Ces attaques sont ciblées, avec des moyens humains dédiés et sont souvent à signaux faibles. Elles sont difficiles à détecter. ». Un risque qui vaut la peine d’attirer beaucoup plus l’attention.

Au quotidien il n’est pas rare que les établissements font face à des attaques de type le classique du genre. « Prise de contrôle d’un compte informatique, en général après un phishing réussi ».  À ce sujet, le responsable du système des formations a mis en évidence en exemple ou un employé se fait avoir par une en fraude informatique ce qui a entraîné une attaque de masse. « La meilleure leçon tirée de cet incident a été une bonne sensibilisation du personnel du service ciblé », raconte le RSSI de HEC. « Tout le monde peut faire une erreur et se retrouver dans ce genre de situation. Au lieu de stigmatiser celui qui commet une erreur, avoir montré qu’il est une victime a permis de faire baisser le niveau de stress du collectif et de le faire progresser », ajoute le spécialiste.

Pour lutter efficacement contre les menaces informatiques, les établissements d’enseignement supérieur de protection à travers la segmentation du réseau sont la définition d’une politique Zero Trust. « Les établissements d’enseignement supérieur ont mis en place depuis longtemps de manière pragmatique le principe de base du modèle de sécurité « Zero Trust », appelé parfois « sécurité sans périmètre » : les dispositifs ne doivent pas être considérés comme fiables par défaut, même s’ils sont connectés à un réseau sécurisé et même s’ils ont été vérifiés auparavant. » explique Olivier Nerrand.

De son côté, le responsable de sécurité de système d’information de HEC Paris affirme s’appuyer sur des modèles théoriques et sur des règles au niveau international pour mieux définir sa politique de cybersécurité. « J’ai suivi les différentes évolutions du domaine tout au long de ma carrière, et en 2019, j’ai été formé par Hervé Schauer au management du risque, sur le modèle ISO/CEI 27005:2018 qui est ma référence aujourd’hui. Cette norme a l’avantage de la souplesse et du pragmatisme, et elle peut être utilisée en particulier dans les entreprises soumises à de fréquents changements, ce qui est le cas à HEC Paris », précise Olivier Nerrand.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Epitech se fait pirater

La célèbre école d’informatique dénommée Epitech traverse ces derniers temps un problème sérieux.

En effet elle est victime comme bon nombre de structures ces derniers temps, d’une fuite de données personnelles. Et ce depuis la mi semaine.

Cet article va aussi vous intéresser : 106 millions de victimes pour le piratage de Capital One

C’est un individu connu sur le pseudonyme de « Epitek reveal », précisément un groupe de hackers activistes qui voulant à travers les contenus diffusés mettre à nue les conditions de vie déplorable des étudiants, est l’auteur de cet acte frauduleux. En effet, il avait procédé à la publication sur les réseaux sociaux des données personnelles qu’il a probablement dérobées. Les informations étaient visibles sur Github, Méga, et Twitter et d’autres sites internet.

Selon les informations reçues, les données publiées auraient été volées sur le réseau informatique d’Epitech.

Selon un responsable de l’établissement du nom de Emmanuel Carli : « il s’agit essentiellement des données dont nous disposons pour contacter les élèves en cas de besoin : numéros de téléphone, mail. Nous n’avons peut-être pas découvert l’intégralité des informations mais d’après nos analyses, il n’y a pas de documents sensibles tels que des papiers d’identité. »

Les informations concernées seraient composées de données nominatives telles que des noms, des Curriculum vitae, des numéros de téléphone et des adresses mail et non nominatives concernant les étudiants et les membres de l’administration. Apparemment il y aurait, selon le témoignage de certains étudiants, des documents personnels sont des cartes d’identité, des comptes rendus pédagogique etc…

C’est le magasine « Zataz » qui fut le premier à publier sur cette fuite d’information. Mais selon les informations qui proviendraient de la direction, tous les étudiants ont été informés officiellement de la fuite par les autorités de l’établissement et ont été invités à prendre les précautions nécessaires pour éviter de subir les effets néfastes de cette fuite. L’école assure qu’elle fait tout son possible pour retirer les informations publiées sur le web au détriment des vrais titulaires.

Pour l’heure, ils affirment trier les données et chercher à déterminer comment cela a pu arriver. L’établissement a signifié avoir débuté plusieurs procédure en vue de faire sanctionner cet acte. D’abord, une auprès de la Commission Nationale de l’Informatique et des Libertés, ensuite, une poursuite pénale près de juridiction compétente. On essaie tant bien que mal de soupeser l’impact du problème et l’étendue des dommages sur les victimes directes, en particulier les étudiants. Une adresse Mail spéciale a été instituée pour être à l’écoute de tous les élèves.

Pour le moment, l’on ignore totalement les raisons qui ont motivé le hacker faire ces publications. Par ailleurs, sur Github, le hacker mettait en avant une sorte de maltraitance des étudiants. De ce fait, les autorités de Epitech ont déduit de cela que le coupable serait peut-être un ex collaboration de l’établissement. C’est en ces mots que le Directeur Général de Epitech l’expose: « On s’oriente vers l’hypothèse d’une fuite orchestrée par un ancien collaborateur qui avait accès à des informations administratives dans le cadre de ses fonctions. »

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage