Aujourd’hui, les écoles primaires et secondaires et les établissements d’enseignement supérieur (EES) dépendent fortement des données et de la technologie pour leurs fonctions académiques, opérationnelles et commerciales, ce qui rend essentielle une stratégie de sécurité centrée sur les données robuste et résiliente.
Les établissements scolaires ont tendance à accumuler une quantité considérable d'informations sensibles, telles que la propriété intellectuelle, les données médicales et financières, ainsi que les dossiers des candidats, des étudiants, des enseignants, des anciens élèves et du corps professoral. La forte rotation du personnel, la valeur des données et la valeur de la propriété intellectuelle issue de la recherche font du secteur de l'éducation une cible lucrative pour les acteurs malveillants et les cyberattaques.
Pourquoi le secteur de l'éducation a besoin d'une stratégie de sécurité centrée sur les données
Selon le Rapport IBM sur le coût des violations de données en 2023Le coût moyen d'une violation de données dans l'enseignement supérieur s'élevait à 143,65 millions de livres sterling. Le secteur de l'éducation doit faire évoluer sa stratégie de cybersécurité, car il continue de s'appuyer sur un modèle hybride pour relever ses défis uniques en matière de cybersécurité.
En plus de se protéger contre les cyberattaques, les écoles doivent se conformer à des exigences croissantes en matière de confidentialité des données et de réglementation :
- Loi sur les droits à l'éducation et à la vie privée de la famille (FERPA) sécurise les dossiers scolaires personnellement identifiables des étudiants.
- Modification de la protection des droits des élèves (PPRA) établit des règles pour la collecte et l’utilisation des données d’enquête ou d’évaluation des étudiants.
- Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) établit des normes pour protéger les informations médicales sensibles.
- La loi Gramm-Leach-Bliley (GLBA) s'applique à la manière dont les établissements d'enseignement collectent, stockent et utilisent les dossiers financiers des étudiants (par exemple, les paiements des frais de scolarité et/ou l'aide financière) contenant des renseignements personnels.
- Loi sur la protection de la vie privée des enfants en ligne (COPPA) exige que les opérateurs de services en ligne, d'applications et de sites Web protéger les données des enfants.
- Loi californienne sur la protection de la vie privée des consommateurs (CCPA) et le règlement général sur la protection des données de l'UE (RGPD) sont des réglementations mondiales en matière de protection des données et de confidentialité qui nécessitent une conformité.
Si le secteur de l’éducation modernise sa stratégie de cybersécurité, il pourrait accroître son efficacité, gagner en visibilité, sécuriser ses données, gérer les risques et atteindre la conformité.
Les défis de la sécurité des données dans l'éducation
Le secteur de l'éducation est un secteur unique, très différent de la plupart des organisations et institutions. Il est essentiel de prendre en compte plusieurs facteurs lors de l'élaboration d'un cadre de cybersécurité pour les écoles et l'enseignement supérieur afin de mieux se protéger contre les violations de données et la cybercriminalité. Ce secteur doit relever les différents défis suivants :
Surface d'attaque élevée
Chaque année, les établissements scolaires acquièrent de nouvelles données auprès d'une nouvelle cohorte d'élèves, d'enseignants et de membres du corps enseignant, via différents réseaux, systèmes et applications. Lorsque des attaquants exploitent une vulnérabilité, ils y accèdent, provoquant une violation de données. La rotation importante des données au sein de ces établissements crée une circulation incessante, ce qui accroît les risques liés aux données et la surface d'attaque globale.
Violations de données et attaques de ransomware
De nombreux établissements et universités ont des frais de scolarité élevés et des dotations qui se chiffrent en milliards. Il n'est donc pas surprenant que les rançongiciels soient la principale méthode de cyberattaque dans le secteur de l'éducation. Selon le Rapport d'enquête sur les violations de données de Verizon 202230% des violations de données dans ce secteur sont attribuées à des attaques de ransomware.
Risque élevé lié aux tiers
Les fournisseurs tiers créent une surface d’attaque partagée, obligeant les établissements d’enseignement à assumer des risques de sécurité supplémentaires et compliquant les efforts visant à prévenir les violations de données.
Recherche, propriété intellectuelle et sécurité nationale
Certains établissements d'enseignement supérieur mènent des recherches qui incluent des projets gouvernementaux fédéraux et étatiques, ce qui peut constituer un enjeu potentiel de sécurité nationale. Les acteurs malveillants peuvent considérer ces établissements comme une porte dérobée permettant d'accéder à des informations militaires, biologiques et médicales précieuses, potentiellement surexposées.
Confidentialité et gouvernance des données des étudiants
Les violations de données peuvent nuire aux élèves et donner lieu à des fraudes, des vols d'identité et des pratiques d'extorsion, exposant les établissements scolaires à des risques de non-conformité, à des atteintes à leur réputation et à des poursuites judiciaires. La loi Gramm-Leach-Bliley (GLBA), la loi Family Educational Rights and Privacy Act (FERPA) et la loi Children's Online Privacy Protection Act (COPPA) exigent des établissements scolaires qu'ils adoptent des stratégies de cybersécurité strictes et qu'ils démontrent leur conformité. Ces réglementations protègent également le droit des parents à consulter les données de leurs enfants (dossiers scolaires) et à en limiter l'accès.
Innovation et sécurité de l'IA
Les établissements d'enseignement doivent concilier la nécessité de permettre aux étudiants de progresser et d'évoluer grâce aux technologies de l'IA. Cependant, des politiques et des garde-fous doivent être mis en place pour l'IA et ChatGPT afin de protéger les données sensibles, la recherche et la propriété intellectuelle.
Migrations dans le nuage
Pour les institutions confrontées à des difficultés avec des systèmes hérités, le transfert d'actifs numériques des environnements locaux vers des environnements basés sur le cloud est une tâche complexe, et les problèmes de confidentialité, de sécurité et de gestion des données peuvent entraîner une non-conformité.
Cyberattaques et violations de données importantes dans le secteur de l'éducation
Les établissements d'enseignement primaire, secondaire et supérieur sont régulièrement victimes de piratages informatiques, et la situation ne montre aucun signe de ralentissement. Voici quelques exemples de violations de données dans le secteur de l'éducation :
- Cyberattaque : En 2019, la base de données centrale de Georgia Tech a été piratée, exposant les dossiers de plus de 1,27 million d'étudiants, de membres du personnel et de professeurs.
- Violation de données par un tiers : En mai 2023, MOVEit, une plateforme de transfert de fichiers, a été piratée, affectant jusqu'à 160 établissements scolaires. Le ministère de l'Éducation des États-Unis exige que MOVEit partage ses informations avec le National Student Clearinghouse (NSC). La plateforme est utilisée par plus de 3 500 établissements.
- Ransomware : En mars 2023, 200 000 fichiers ont été volés au district scolaire du Minnesota, puis publiés en ligne après qu'un cybergang a fait savoir que le district n'avait pas payé une rançon de $1 millions de dollars. Le 74 une organisation dédiée à l'examen des problèmes affectant l'éducation des 74 millions d'enfants américains, a rapporté que les dossiers contenaient des informations extrêmement sensibles impliquant des abus, des problèmes de santé mentale et des suspensions.
Comment BigID aide les établissements d'enseignement à protéger les données des étudiants et des professeurs
Les établissements d’enseignement ont besoin d’une approche de sécurité centrée sur les données et consciente des risques pour protéger leurs données les plus importantes. BigID Combinant expertise sectorielle, technologies avancées, sécurité des données et analyses, BigID transforme les opérations réglementaires et stimule la croissance tout en maintenant la conformité. BigID permet aux écoles et à l'enseignement supérieur d'obtenir une visibilité et une compréhension complètes des données stratégiques de l'entreprise, de gérer les risques, de remédier aux vulnérabilités des données, d'appliquer les politiques de sécurité, de sécuriser les données et de se conformer aux exigences réglementaires.
Grâce à l'approche de sécurité par conception de BigID, vous pouvez :
- Découvrez vos données : Découvrez et cataloguez vos données sensibles, y compris structurées, semi-structurées et non structurées, dans des environnements sur site et dans le cloud.
- Connaître ses données : Classez, catégorisez, marquez et étiquetez automatiquement les données sensibles avec une précision, une granularité et une ampleur inégalées.
- Améliorer la sécurité des données : Priorisez et ciblez de manière proactive les risques liés aux données et automatisez la gestion de la posture de sécurité des données (DSPM).
- Remédier aux données à votre façon : Gérez la correction des données et déléguez aux parties prenantes, ouvrez des tickets ou effectuez des appels API sur votre pile technologique.
- Activer la confiance zéro : Réduisez les accès surprivilégiés et les données surexposées et rationalisez la gestion des droits d’accès pour permettre la confiance zéro.
- Atténuer les risques liés aux initiés : Surveiller, détecter et répondre de manière proactive à l'exposition interne non autorisée, à l'utilisation et à l'activité suspecte autour des données sensibles.
- Réduisez votre surface d'attaque : Réduire la surface d'attaque en éliminant de manière proactive les données sensibles inutiles et non essentielles à l'activité de l'entreprise.
- Sécurisez votre migration vers le cloud : Optimisez la migration vers le cloud grâce à des informations et une conformité basées sur les données, réduisez automatiquement les données redondantes et déplacez les données les plus importantes.
- Rationaliser la réponse aux violations de données : Détectez et enquêtez rapidement et précisément sur l'impact des violations, facilitez une réponse rapide aux incidents et informez les autorités compétentes ainsi que les étudiants et le personnel concernés.
- Accélérer la sécurité de l'IA : BigID élabore efficacement des politiques de gouvernance de l'IA basées sur la confidentialité, la sensibilité, la réglementation et l'accès, afin de contrôler les données partagées avec les LLM et les applications d'IA. Utilisez l'IA avec des garde-fous responsables pour gérer et protéger les informations confidentielles et les données des étudiants.
- Assurer la conformité : Automatisez la conformité avec des capacités et des cadres de confidentialité et de sécurité de bout en bout pour protéger les données personnelles, sensibles et réglementées.
Planifier une démonstration avec l'un de nos experts en sécurité des données dès aujourd'hui.