Selon une analyse Proofpoint, 97 % des universités françaises n’auraient pas un niveau de protection assez important contre le risque de fraude par email, pourtant premier vecteur de cyberattaques.
Plus de 1,6 million d’étudiants sont inscrits dans les universités et 936 000 ont confirmé au moins un vœu d’orientation dans l’enseignement supérieur cette année. Depuis le début de la procédure ParcourSup, les futurs étudiants attendent avec impatience les courriers électroniques concernant leurs demandes d’études après le baccalauréat, parfois dans le stress, condition propice pour baisser la garde face aux pièges de cybercriminels.
L'incertitude et le manque de familiarité avec le processus, ainsi que l'augmentation des communications par email, constituent une aubaine pour les cybercriminels qui tentent de tromper les étudiants avec des emails de phishing frauduleux.
Le standard DMARC, ou le meilleur moyen pour se protéger de la fraude par Email.
DMARC est un protocole d’authentification des messages électroniques conçu pour protéger les noms de domaine contre une utilisation abusive par les cybercriminels. Il authentifie l'identité de l'expéditeur avant de permettre à un message d'atteindre sa destination. DMARC comporte trois niveaux de protection : surveillance, quarantaine et rejet ; le rejet étant le plus sûr pour empêcher les messages suspects d'atteindre la boîte de réception.
Mettre en œuvre le protocole DMARC permet à une université (ou une organisation en général) de définir quel traitement doit être appliqué sur les messages électroniques utilisant son nom de domaine, ainsi que la politique à appliquer en cas d’échec lors de la vérification : accepter le message électronique (p=none, où p signifie ici policy – politique en anglais), le catégoriser comme indésirable (p=quarantine), ou le supprimer (p=reject).
La protection des universités françaises est-elle suffisante ?
Proofpoint a réalisé une analyse des enregistrements DMARC (Domain-based Message Authentication, Reporting and Conformance) des meilleures universités françaises selon le classement Times Higher Education. Dans ce classement des 1500 plus grandes universités mondiales, 39 sont françaises.
Les établissements d'enseignement supérieur sont des cibles très attrayantes pour les cybercriminels, car ils détiennent des masses de données personnelles et financières sensibles. La pandémie de COVID a provoqué un passage rapide à l'apprentissage à distance, ce qui a entraîné des défis accrus en matière de cybersécurité pour les établissements d'enseignement supérieur, les exposant à des risques importants de cyberattaques malveillantes par courrier électronique, comme le phishing.
Le courrier électronique reste le vecteur le plus courant de compromission de la sécurité dans tous les secteurs d'activité. Ces dernières années, la fréquence, la sophistication et le coût des cyberattaques contre les universités ont augmenté. C'est la combinaison de ces facteurs qui rend particulièrement inquiétant le fait que les courriels d’une seule des meilleures universités françaises soit authentifiés par DMARC.
Les principales conclusions de l'analyse sont les suivantes :
- Une seule des premières universités françaises du classement a mis en œuvre le niveau de protection recommandé et le plus strict (rejet), qui empêche activement les emails frauduleux d'atteindre leurs cibles. Cela signifie que la majorité laisse les étudiants exposés à la fraude par email.
- Alors que 62 % d'entre elles ont pris les mesures initiales en publiant un enregistrement DMARC, 7 des universités sont passées de « Pas de politique DMARC » il y a deux ans à « Surveillance basique ». Cette amélioration n’assure évidemment aucun rôle actif de protection mais uniquement un niveau de surveillance minimal.
- Quinze des plus grandes universités françaises (38 %) ne publient aucun enregistrement DMARC.
Le Forum économique mondial indique que 95 % des problèmes de cybersécurité sont dus à une erreur humaine. Pourtant, selon le récent rapport Voice of the CISO de Proofpoint, les responsables de la sécurité informatique (CISO) du secteur de l'éducation sous-estiment ces menaces, 47 % seulement jugeant que les utilisateurs constituent le risque le plus important pour leur organisation. Il est inquiétant de constater que les RSSI du secteur de l'éducation sont aussi ceux qui se sentent le moins soutenus par leur organisation, par rapport à tous les autres secteurs.
Avec le passage à l'apprentissage à distance (et plus récemment à l'apprentissage hybride), les experts Proofpoint prévoient que la menace pour les universités va continuer à augmenter. L'absence de protection contre la fraude par courrier électronique est courante dans le secteur de l'éducation, exposant d'innombrables parties prenantes à des messages frauduleux, également appelés « Business Email Compromising » (BEC).
Les personnes constituent une ligne de défense essentielle contre la fraude par email, mais leurs actions restent l'une des plus grandes vulnérabilités pour les organisations. DMARC reste la seule technologie ouverte capable non seulement de défendre contre l'usurpation de domaine et donc le risque d'usurpation d'identité, mais aussi de les éliminer. Lorsque DMARC est mis en place en mode « rejet », un courriel malveillant d’imposteur ne peut pas atteindre la boîte de réception, ce qui élimine définitivement le risque d'interférence humaine.
Les bonnes pratiques à appliquer en tant qu’utilisateur :
- Vérifiez la validité de toutes les communications par courrier électronique et faites attention aux messages potentiellement frauduleux se faisant passer pour des organismes d'éducation.
- Méfiez-vous de toute tentative de communication demandant des identifiants de connexion ou menaçant de suspendre un service ou un compte si vous ne cliquez pas sur un lien.
- Suivez les meilleures pratiques en matière d'hygiène des mots de passe, notamment en utilisant des mots de passe forts, en les changeant fréquemment et en ne les réutilisant jamais sur plusieurs comptes.
Cette analyse a été réalisée en août 2022 à l'aide des données du classement des meilleures universités françaises de Times Higher Education.
Pour en savoir plus sur DMARC : https://www.proofpoint.com/fr/products/email-protection/email-fraud-defense