Connect with us

Technologie

Les universités ont besoin d’une meilleure protection contre les cyberattaques par courrier électronique

Published

on


Plus que jamais, les cybercriminels continuent de cibler les personnes avec des efforts d’ingénierie sociale dans le but final de siphonner des informations sensibles, qu’il s’agisse de détails financiers, de données d’entreprise confidentielles ou d’informations personnelles. Alors qu’une grande partie de cette activité est axée sur les employés au sein des organisations de tous les secteurs, le secteur de l’éducation est de plus en plus une cible pour les criminels.

Avec un nombre record d’étudiants qui fréquentent maintenant l’université au Royaume-Uni, les cybercriminels ont une vaste opportunité de cibler cette industrie, en capitalisant sur la communication accrue entre les étudiants, les enseignants et les fournisseurs tiers. Comme dans beaucoup d’autres industries, les attaques contre les universités sont souvent couronnées de succès parce que les gens, et non la technologie, sont ciblés. Parce qu’il peut être presque impossible pour un étudiant ou un membre du personnel sans méfiance d’identifier un e-mail frauduleux à partir d’un e-mail réel, la plupart des RSSI britanniques considèrent l’erreur humaine comme la plus grande cybervulnérabilité d’une organisation.

Nous avons vu de nombreux exemples d’universités britanniques ciblées ces dernières années. Par exemple la récente attaque contre l’Université de Sunderland prouve qu’en dépit d’une sensibilisation accrue aux scénarios de cyberprotection et de cybermenaces, des violations de données peuvent encore se produire et perturber fortement l’activité quotidienne – unAucune industrie ne fait exception.

Cette récente violation constitue une mise en garde parfaite pour d’autres établissements d’enseignement, car l’attaque a empêché le personnel et les étudiants d’accéder aux courriels, aux systèmes d’apprentissage à distance et aux lignes téléphoniques. Le problème unique est que les universités sont une cible populaire en raison de la richesse des données qu’elles détiennent et des nombreux points de violation possibles.

De nombreuses universités, comme Sunderland, sont également des instituts de recherche, elles veulent donc garder l’accès aux données et à l’information aussi ouvert que possible, ce qui peut être périlleux en cas de cyberattaque. Cependant, bien que le problème soit complexe, la solution pour atténuer au mieux ces menaces peut être plus simple.

Votre email peut être votre faiblesse

La nature ouverte et extérieure du secteur de l’éducation, qui permet la collaboration entre les universitaires du monde entier, signifie que les cybercriminels n’ont pas besoin de chercher très fort pour trouver les ressources nécessaires pour exploiter et usurper l’identité de leur cible. Les cybercriminels utilisent largement la méthode de l’usurpation de domaine pour se faire passer pour des organisations bien connues en envoyant un e-mail d’un expéditeur prétendument légitime. Ces e-mails servent d’appât pour déterminer les données nécessaires pour mener des attaques réussies, lorsqu’un e-mail bien adapté entraîne l’insistance d’un membre du personnel ou d’un étudiant à vérifier un e-mail malveillant.

Pour atténuer ce problème, les organisations doivent déployer des protocoles d’authentification tels que DMARC (Domain-based Message Authentication Reporting and Conformance), afin de renforcer leur défense contre la fraude par courrier électronique. Agissant comme un protocole d’authentification de messagerie ouvert qui fournit une protection au niveau du domaine du canal de messagerie, l’authentification DMARC détecte et empêche les techniques d’usurpation d’adresse e-mail utilisées dans le phishing, la compromission d’e-mails professionnels (BEC) et d’autres attaques basées sur les e-mails.

DMARC est la première et la seule technologie largement déployée qui peut garantir que les e-mails envoyés proviennent d’un domaine digne de confiance. En mettant en œuvre le niveau le plus strict de DMARC – qui rejette complètement tout e-mail considéré comme provenant d’un domaine usurpé – les universités peuvent activement empêcher les e-mails frauduleux d’atteindre leurs cibles prévues, protégeant ainsi leurs étudiants, leur personnel et leurs partenaires contre les cybercriminels cherchant à usurper l’identité de leur marque.

Les universités britanniques doivent se protéger

Malheureusement selon la récente recherche universitaire DMARC Menée par Proofpoint, seulement 15% des universités britanniques ont mis en œuvre le niveau recommandé et le plus strict de protection DMARC (rejet), qui empêche les e-mails frauduleux d’atteindre leurs cibles prévues, ce qui signifie que 85% des universités britanniques laissent les étudiants et le personnel ouverts à la fraude par courrier électronique qui pourrait conduire à une cyberattaque paralysante.

Fait encourageant, plus des deux tiers des universités ont pris des mesures initiales pour protéger leurs étudiants et leur personnel contre la fraude par courrier électronique, 70 % d’entre elles publiant un certain niveau d’enregistrement DMARC. Cependant, il reste encore beaucoup à faire pour protéger activement les utilisateurs de messagerie contre les attaquants qui usurpent l’identité de ces universités.

Les établissements d’enseignement détiennent des masses de données sensibles sur les individus, de sorte que les cybercriminels peuvent avoir un accès instantané à des informations personnelles telles que le nom, l’adresse, les détails de paiement, la pièce d’identité ou les dossiers de santé. Par conséquent, en plus de la protection DMARC nécessaire, tous les utilisateurs doivent être avisés d’utiliser des mots de passe forts et uniques, éventuellement wc’est une authentification multifacteur si possible.

Très souvent, Attaquants créer des sites « sosies » imitant des marques et des institutions familières, de sorte que les étudiants et le personnel doivent toujours vérifier l’authenticité du lien sur lequel ils cliquent, ainsi que d’éviter les attaques potentielles de phishing et de smishing.

L’heure est à la cyberédification

Bien que la mise en œuvre du protocole DMARC soit une première étape essentielle pour toute institution, les organisations doivent également sensibiliser simultanément à la formation des utilisateurs en matière de sécurité, car les personnes sont la variable la plus critique dans une cyberattaque réussie.

Malheureusement, la plupart des utilisateurs ne comprennent pas le rôle qu’ils jouent dans la protection de leur organisation contre les cybermenaces, de sorte que les organismes d’éducation doivent améliorer la cyber sensibilisation en fournissant fréquemment une formation, transformant la formation annuelle sur la sécurité en sessions de formation plus courtes organisées mensuellement ou trimestriellement. Contrairement à la croyance populaire, la jeune génération est souvent plus détendue envers la cybersécurité que ses homologues plus âgés, avec des mots de passe faibles et la réutilisation des informations d’identification. sévissent parmi les étudiants, ce qui signifie que la formation de sensibilisation à la sécurité doit être une priorité pour les étudiants nouvellement inscrits.

Un effort constant de la part du personnel et des étudiants est nécessaire pour renforcer l’hygiène de sécurité. Plus chaque utilisateur comprend les menaces auxquelles il est confronté, les méthodes mises en œuvre par les criminels et comment son propre comportement peut faire la différence entre un système sécurisé ou violé, mieux il est équipé pour protéger son organisation contre les dommages.

Les cybercriminels accordent une attention particulière aux grandes tendances et mèneront des attaques ciblées à l’aide de techniques d’ingénierie sociale, il est donc important que le personnel et les étudiants soient conscients des nouvelles menaces émergentes avant qu’une attaque ne se produise. Le secteur de l’éducation doit simplement déployer des protocoles d’authentification, tels que DMARC, pour renforcer ses défenses contre la fraude par courrier électronique tout en offrant une formation en matière de sécurité aux étudiants et au personnel.

Comme les gens sont la première ligne de défense, les universités doivent éduquer ceux qui utilisent leur réseau sur la façon dont un seul clic peut être la porte ouverte qu’un cybercriminel attend de franchir.

Adenike Cosgrove est stratège en cybersécurité à l’international de Proofpoint

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance