Paris-Saclay, Sorbonne… Les universités ont-elles pris la mesure du risque cyber ?
En juin dernier, la Sorbonne subissait une attaque d'ampleur sur ses réseaux : les données de 32 000 agents étaient compromises. Des données comprenant leur identité, leurs bulletins de salaire ou leur RIB. Des anciens employés étaient même exposés. Le nouvel épisode d'une série d'évènements : en 2024 par exemple, l'Université Paris-Saclay était touchée et déplorait 3 millions d'euros de pertes associées aux dégâts provoqués par l'attaque. Selon l'Amue (Agence de mutualisation des universités et des établissements), qui élabore les systèmes informatiques de certaines universités, une attaque se produit tous les six jours, avec plus ou moins de réussite.
"Les structures publiques sont des cibles, car il peut être attrayant de paralyser des structures vues comme étatiques. Et ces établissements en particulier manipulent beaucoup de données qui peuvent être intéressantes, sur un grand nombre de personnes", explique Michel Allemand, directeur du département services et solutions pour les établissements, à l'AMUE. "L'objectif des assaillants est de trouver des données sensibles et exploitables, ou d'en revendre en grand nombre si elles sont moins vitales", complète Xavier Daspre, directeur technique chez Proofpoint.
Point faibles des universités : il s'agit de systèmes ouverts, où beaucoup de personnes doivent pouvoir se connecter sans avoir à rendre de comptes de façon trop complexe. "Les étudiants ne peuvent pas être contrôlés à chaque étage. Des chercheurs étrangers en visite doivent aussi pouvoir y accéder", rappelle Gilles Roussel, président de la Conférence des Universités. La montée en puissance des services informatiques en mode service, accessibles à distance, renforce cette particularité. De quoi influencer la méthode des assaillants : 80% des attaques passent par du phishing et des emails envoyés sur la messagerie des collaborateurs ou étudiants. La plupart du temps, le but n'est pas de paralyser les réseaux, comme c'est le cas pour les hôpitaux, car à l'inverse de ces derniers, le redémarrage immédiat des services n'est pas une nécessité vitale.
La sécurisation est en marche
Avec une exception : en septembre 2022, Toulouse INP fait face à un rançongiciel. Après une enquête de 9 jours, qui mène au groupe de pirates Avos Locker, elle sécurise ses réseaux et les remet en service progressivement. Dans les phases de crise, les facs reçoivent le soutien de l'Anssi, via le CERT (Computer Emergency Response Team), et peuvent en amont compter sur le Renater (Réseau national de télécommunications pour la technologie, l'enseignement et la recherche), qui déclenche des alertes lorsque des comportements anormaux sont observés.
"Depuis une vingtaine d'années, on a développé un réseau de RSSI entre les universités. Et la protection périphérique des réseaux a progressé, avec des dispositifs de pare-feu. En matière d'infrastructures, c'est plutôt bien géré", souligne Michel Allemand. Différence notable entre les établissements : certains délèguent l'exploitation de leurs solutions de protection, quand d'autres l'internalise. Avec des niveaux de résilience qui diffèrent. "A Saclay, les sauvegardes avaient été compromises et on n'a rien pu faire parce que nous n'étions pas exploitant, seulement éditeur", poursuit Michel Allemand. Côté sécurité personnelle, les établissements cherchent à basculer sur des authentifications multi-facteurs, qui doivent permettre de limiter le phishing. "Il sera plus difficile d'exploiter la faille humaine", explique encore le directeur DSSE de l'AMUE.
Sensibiliser, faute de moyens
D'autres solutions techniques existent. "Un point central, c'est la mise en place d'outils de filtrage performants dans les messageries", estime Gilles Roussel. Proofpoint met en avant la nécessité de mettre en place le protocole DMARC, qui permet d'analyser et de rejeter des requêtes mail. "Il permet de vérifier l'authenticité de celui qui m'écrit", souligne Xavier Daspre. 82% des universités l'avaient adopté en 2024, contre 62% en 2022. "C'est un bon départ, ça veut dire qu'ils se soucient de la problématique. Par contre, très peu d'établissements ont mis en place le dernier niveau, Reject, qui permet de rejeter le mail s'il n'est pas conforme."
Les universités doivent encore travailler sur leur architecture. Jusqu'à 700 solutions informatiques peuvent coexister, proposées par divers opérateurs ou développées localement. "Il faudrait avoir une cartographie globale, avec des préconisations sur leur interopérabilité, sur la sécurisation des flux", détaille Michel Allemand. Dans le cas de Saclay, l'attaque avait d'ailleurs démarré par un ordinateur exploité localement par le laboratoire de chimie, avant de contaminer le reste du réseau. "Chaque laboratoire, chaque service informatique fait un peu sa recette dans son coin, les systèmes sont très décentralisés. Cela pose la question de la gouvernance", souligne Xavier Daspre.
Reste enfin la solution humaine : mieux anticiper en formant les employés et étudiants. "Faire des campagnes de formation, pour ne pas transmettre d'informations sensibles, c'est fondamental", appuie Xavier Daspre. Des politiques qui se heurtent au manque de moyens. 10% du budget informatique devrait être consacré à la sécurité, selon l'ANSSI. "Mais nous ne sommes pas dans une phase ascendante budgétairement. Quand on est en restriction, faut-il embaucher un enseignant ou un expert en sécurité ? D'autant qu'il faut avoir les moyens d'attirer, ces compétences cyber sont prisées", explique Gilles Roussel. "C'est un problème de vision globale : réduire le nombre de solutions utilisées coûterait moins cher, et serait plus efficace", souligne de son côté Michel Allemand.