Les écoles et les universités sont en état de siège. L’éducation est désormais le secteur le plus attaqué au niveau mondial, les établissements étant confrontés à une moyenne de 4 388 cyberattaques par semaine, selon les données de Check Point pour le deuxième trimestre 2025. C’est plus du double de la moyenne interprofessionnelle. Pourtant, la plupart des équipes informatiques des établissements scolaires se composent d’une ou deux personnes qui gèrent tout, des projecteurs en panne aux alertes de ransomware.
Ce guide explique comment une architecture Secure Access Service Edge (SASE) répond aux défis spécifiques auxquels sont confrontés les établissements d’enseignement : connectivité multi-sites, appareils étudiants non gérés, pression réglementaire dans le cadre de GDPR et NIS2, et sous-financement chronique. Il associe chaque composant SASE à un problème éducatif concret et décrit une approche progressive adaptée aux réalités des budgets informatiques des écoles.
Pourquoi l’éducation est-elle devenue la cible privilégiée des cyberattaques ?
L’éducation ne s’est pas retrouvée en tête de liste des menaces par hasard. Le secteur combine trois facteurs que les attaquants exploitent : une vaste surface d’attaque, des défenses limitées et des données de grande valeur.
Sophos a constaté que 63% des organisations de l’enseignement primaire/secondaire et 66% des établissements d’enseignement supérieur ont été touchés par des ransomwares en 2024. Ces deux chiffres dépassent la moyenne mondiale intersectorielle de 59 %. Les vulnérabilités exploitées représentent 44 % de ces attaques dans les écoles, et le phishing a augmenté de plus de 200 % au cours de la même période.
Les dommages financiers sont importants. Les coûts moyens de récupération d’un ransomware dans l’enseignement supérieur ont atteint 4,02 millions de dollars en 2024, soit près de quatre fois plus que l’année précédente. Selon le rapport 2025 d’IBM, le coût moyen d’une violation de données dans le secteur de l’éducation s’élève aujourd’hui à 3,8 millions de dollars. Et la faille de PowerSchool en décembre 2024, la plus importante dans l’histoire de l’éducation, a exposé les dossiers de 62 millions d’étudiants dans 18 000 écoles de 90 pays.
Les institutions européennes sont loin d’être à l’abri. L’université technologique d’Eindhoven, aux Pays-Bas, a été contrainte d’annuler les cours et de reporter les examens après qu’une cyberattaque, survenue en janvier 2025, a mis hors service l’ensemble de son réseau. La Sorbonne Université, à Paris, a subi une attaque visant sa division Polytech. L’université des sciences appliquées de Francfort a dû fermer tous ses systèmes informatiques en juillet 2024. En Belgique, 120 cas uniques de ransomware ont été signalés en 2024, et le pays figure dans le top 10 mondial des cyberattaques.
Le schéma est clair. Les attaquants ciblent l’éducation parce que les défenses sont minces et que les données sont riches : dossiers des étudiants, propriété intellectuelle de la recherche, informations financières, données médicales des cliniques du campus et documents d’identité des étudiants internationaux.
Les cinq défis en matière de sécurité que partagent les écoles et les universités
Les établissements d’enseignement partagent un ensemble spécifique de défis que les outils de sécurité traditionnels n’ont jamais été conçus pour résoudre.
Une prolifération de sites multiples avec une sécurité incohérente. Un district scolaire ou une université typique fonctionne avec des dizaines de bâtiments : campus, bibliothèques, installations sportives, bureaux administratifs, sites satellites. Chaque site a besoin de connectivité et de sécurité. L’approche traditionnelle consiste à installer des pare-feu sur chaque site et à les gérer individuellement. Pour une équipe informatique de deux personnes, c’est impossible. L’approche SASE, qui consiste à sécuriser les services distribués sans complexité, s’applique directement ici.
Des milliers d’appareils non gérés. Les ordinateurs portables, les tablettes et les téléphones des élèves se connectent quotidiennement. Le BYOD n’est pas optionnel dans l’éducation, c’est le modèle de fonctionnement. Pendant la pandémie, des districts comme celui de Colorado Springs sont passés de 15 000 à 50 000 appareils pratiquement du jour au lendemain. Ces appareils ne peuvent pas être entièrement gérés. Ils ne peuvent pas exécuter d’agents d’entreprise. Ils ont besoin d’un modèle de sécurité entièrement différent.
Des équipes informatiques réduites à peau de chagrin avec des charges de travail impossibles à assumer. Deux tiers des districts scolaires n’ont pas de poste à plein temps dans le domaine de la cybersécurité. Au Royaume-Uni, seuls 37 % des établissements d’enseignement supérieur disposent d’un personnel spécialisé dans la cybersécurité. Le coordinateur informatique d’une école moyenne gère simultanément l’infrastructure du réseau, l’assistance aux utilisateurs, l’approvisionnement des appareils et la réponse aux incidents de sécurité. Toute solution de sécurité qui nécessite une configuration complexe ou une maintenance constante est vouée à l’échec.
L’expansion massive des technologies de l’éducation crée un risque pour la chaîne d’approvisionnement. Les écoles utilisent aujourd’hui en moyenne 2 739 outils ed-tech différents, soit une croissance de 8 % par an. Chaque outil traite les données des élèves. Chacun représente un vecteur d’attaque potentiel. Chaque outil nécessite ses propres politiques d’accès. La faille de PowerSchool a montré ce qui se passe lorsqu’un seul fournisseur de la chaîne d’approvisionnement est compromis : les dossiers de milliers d’écoles ont été exposés grâce à une série d’informations d’identification volées.
Une pression réglementaire qui ne cesse de croître. Le GDPR s’applique à tous les établissements scolaires qui traitent des données relatives aux élèves, l’article 8 prévoyant une protection renforcée des données relatives aux enfants (la Belgique fixe le seuil de consentement à 13 ans). Le NIS2 n’impose pas l’inclusion de l’éducation, mais l’article 2, paragraphe 5, point b), autorise explicitement les États membres à inclure les établissements d’enseignement. Les Pays-Bas ont déjà décidé d’inclure les universités dans leur Cyberbeveiligingswet. En Belgique, les dispositions relatives à la chaîne d’approvisionnement du NIS2 pourraient indirectement inclure les écoles dans le champ d’application. La liste de contrôle de la conformité au NIS2 indique ce que les auditeurs attendent des organisations qui se préparent à la vérification.
Comment les écoles gèrent-elles la sécurité aujourd’hui, et où se situe la faille ?
La plupart des écoles s’appuient sur une combinaison de pare-feu sur site (souvent Fortinet FortiGate, Sophos ou Cisco Meraki), de filtrage de contenu web de base, de sécurité du courrier électronique et de toute protection intégrée à Google Workspace ou Microsoft 365.
Cette pile fonctionnait lorsque les étudiants et le personnel étaient toujours sur le campus. Elle ne fonctionne plus aujourd’hui. Les étudiants emportent leurs appareils à la maison. Le personnel travaille à distance. Les applications en nuage sont la norme. Le périmètre du réseau s’est dissous il y a des années, mais l’architecture de sécurité n’a pas rattrapé son retard.
Le filtrage du contenu illustre le problème. Dans la plupart des juridictions, les exigences réglementaires imposent aux écoles de filtrer le contenu du web. Le filtrage traditionnel fonctionne sur le réseau de l’école mais échoue dès qu’un élève emporte son appareil chez lui. Les écoles ont besoin d’un filtrage qui suive l’utilisateur, et non l’endroit où il se trouve. Cela nécessite une approche basée sur l’informatique dématérialisée.
Les VPN créent un autre point de friction. Le personnel administratif et les chercheurs qui accèdent à distance aux systèmes internes bénéficient d’un large accès au réseau par le biais de tunnels VPN. Cela contredit tous les principes de l’accès au moindre privilège et expose les écoles au risque de compromission d’un seul identifiant. Les recherches menées par Verizon confirment le risque : 86 % des compromissions d’applications web dans le secteur de l’éducation impliquaient le vol d’informations d’identification.
La segmentation du réseau entre les systèmes administratifs (finances, dossiers des élèves, ressources humaines) et les systèmes éducatifs (gestion de l’apprentissage, technologie des salles de classe) est recommandée par tous les cadres de sécurité. Dans la pratique, la plupart des écoles ne l’ont pas mise en œuvre ou s’appuient sur des configurations VLAN de base qu’un pirate peut contourner une fois à l’intérieur.
Il en résulte ce que la communauté de la cybersécurité appelle être « riche en cibles, pauvre en cyber ». Les écoles détiennent certaines des données les plus sensibles de tous les secteurs, protégées par certaines des défenses les plus faibles.
Comment chaque composante de SASE résout un problème d’éducation spécifique
SASE fait converger le réseau et la sécurité en une seule plateforme gérée dans le nuage. Pour le secteur de l’éducation, cette convergence n’est pas un luxe. C’est le seul moyen réaliste d’assurer une sécurité cohérente avec une petite équipe.
| Défi de l’éducation | Composante SASE | Ce qu’il fait |
|---|---|---|
| Connectivité multisite entre les campus, les bibliothèques et les sites distants | SD-WAN | Remplace les circuits MPLS coûteux et le matériel de pare-feu par site par une connectivité définie par logiciel. Les nouveaux sites se connectent en quelques heures, et non en quelques semaines. Les politiques s’appliquent de manière cohérente à tous les sites. |
| Filtrage du contenu pour la sécurité des enfants et la conformité réglementaire | Passerelle Web sécurisée (SWG) | Applique le filtrage Web, SafeSearch et le blocage des menaces quel que soit l’endroit où les utilisateurs se connectent. Les politiques suivent l’utilisateur, pas le réseau. Fonctionne sur le campus, à la maison et en déplacement. |
| Accès du personnel et des chercheurs aux applications internes | Accès au réseau sans confiance (ZTNA) | Remplace le VPN par un accès basé sur l’identité et par application. Les enseignants n’accèdent qu’aux systèmes que leur rôle exige. Les chercheurs invités bénéficient d’un accès limité sans avoir à se connecter au réseau. |
| BYOD des étudiants et appareils non gérés | Isolation du navigateur | Crée des sessions de navigation en bac à sable où le contenu web s’exécute dans un conteneur en nuage. Aucune installation d’agent n’est nécessaire. Les appareils des élèves sont protégés sans que le service informatique ait à gérer chaque point d’extrémité. Comment l’isolation du navigateur fonctionne en pratique. |
| Politiques de pare-feu dans le nuage pour tous les sites | Pare-feu en tant que service (FWaaS) | Élimine le matériel de pare-feu par site. Un seul ensemble de règles de pare-feu s’applique partout. Finis les cycles de rafraîchissement du matériel qui grugent des budgets déjà maigres. |
| Campus IoT : gestion des bâtiments, chauffage, ventilation et climatisation, contrôle d’accès, équipement de laboratoire | Matériel NIAC | Isolation en ligne pour les appareils qui ne peuvent pas exécuter d’agents. Restreint la communication aux flux approuvés sans modifier les appareils. Place les actifs sans agent sous le contrôle de Zero Trust. |
| Preuves de conformité au GDPR, au NIS2 et aux cadres nationaux | Console de gestion unique | Journalisation centralisée, versionnement des politiques et rapports exportables. Une seule piste d’audit pour toutes les décisions d’accès sur chaque site et pour chaque utilisateur. |
La console unique est l’élément décisif pour l’éducation. Lorsque 66 % des écoles n’ont pas de personnel dédié à la sécurité, chaque outil nécessitant une gestion séparée ajoute un fardeau. Une plateforme qui unifie le contrôle d’accès, le filtrage web, la connectivité réseau et les rapports de conformité en une seule interface n’est pas seulement pratique. C’est la différence entre une sécurité gérable et pas de sécurité du tout.
Ce que les cadres de conformité signifient pour les écoles en Europe
Trois cadres réglementaires déterminent les obligations des établissements d’enseignement européens en matière de sécurité.
Le GDPR s’applique directement. Chaque école traitant des données relatives aux élèves est un responsable du traitement des données. L’article 8 du GDPR prévoit une protection renforcée pour les enfants, et le considérant 38 précise que les enfants méritent une protection spécifique parce qu’ils peuvent être moins conscients des risques. Les écoles doivent nommer un délégué à la protection des données (obligatoire pour toutes les autorités publiques en vertu de l’article 37), réaliser des analyses d’impact sur la protection des données pour les traitements à haut risque et signaler les violations dans les 72 heures. L’université Bocconi, en Italie, a été condamnée à une amende de 200 000 euros pour non-conformité au GDPR, ce qui montre que l’application de la loi s’étend à l’éducation.
NIS2 élargit son champ d’action. Bien que l’éducation ne soit pas un secteur obligatoire dans le cadre du NIS2, les États membres peuvent choisir d’y inclure les établissements d’enseignement. C’est exactement ce qu’ont fait les Pays-Bas pour les universités. En Belgique, les dispositions du NIS2 relatives à la chaîne d’approvisionnement créent des obligations indirectes : si une école fournit des services de données à des entités gouvernementales ou à des organisations réglementées par le NIS2, elle peut être tenue de se conformer aux contrôles des Cyberfondamentaux. Notre aperçu de la conformité au NIS2 explique les exigences pratiques.
Les cadres nationaux ajoutent des obligations supplémentaires. Au Royaume-Uni, les établissements d’enseignement supérieur doivent obtenir la certification Cyber Essentials. Le cadre belge CyberFundamentals propose quatre niveaux d’assurance qui correspondent à une maturité croissante en matière de sécurité. Même si la conformité n’est pas encore obligatoire pour les écoles, la démonstration d’une approche structurée de la sécurité renforce la gouvernance, protège la réputation de l’établissement et prépare les organisations à l’évolution de la réglementation.
Une plateforme SASE répond structurellement à ces exigences. L’enregistrement centralisé répond aux obligations de documentation des incidents. L’accès basé sur l’identité avec des vérifications de la posture de l’appareil démontre l’application du principe du moindre privilège. La gestion des versions de la politique fournit les preuves attendues par les auditeurs et les régulateurs.
Un déploiement progressif adapté aux budgets de l’éducation
Les écoles ne peuvent pas se permettre des projets de migration perturbateurs. Les cycles budgétaires sont annuels. Les temps d’arrêt en cours de trimestre sont inacceptables. Tout déploiement doit être progressif, en montrant la valeur à chaque étape.
Phase 1 : modernisation du réseau (semaines 1 à 4). Déployez le SD-WAN sur les sites où la connectivité est la plus mauvaise ou dont les contrats MPLS arrivent à expiration. L’approvisionnement sans contact signifie qu’un appareil est expédié dans un bâtiment scolaire, qu’il est branché par du personnel non technique et qu’il tire automatiquement sa configuration du nuage. Avantage immédiat : une connectivité plus rapide et plus fiable sur l’ensemble des sites, avec un contrôle centralisé des politiques.
Phase 2 : Accès sécurisé au web (semaines 4 à 8). Activez la passerelle Web sécurisée pour le filtrage de contenu et la protection contre les menaces. Cela remplace les filtres web sur site par des politiques gérées dans le nuage qui suivent les utilisateurs où qu’ils se trouvent. Le filtrage de la sécurité des étudiants, l’application de SafeSearch et le blocage des logiciels malveillants fonctionnent de la même manière, que l’étudiant soit sur le campus ou chez lui. Pour les appareils des étudiants, l’isolation du navigateur ajoute une protection sans nécessiter l’installation d’un agent.
Phase 3 : Accès à la confiance zéro (semaines 8 à 12). Remplacez l’accès VPN du personnel administratif et des chercheurs par ZTNA. Commencez par les utilisateurs qui traitent les données les plus sensibles : les administrateurs des dossiers des étudiants, les équipes financières, le personnel informatique. Chaque utilisateur n’a accès qu’aux applications que son rôle exige. Les chercheurs en visite et les sous-traitants externes bénéficient d’un accès limité, basé sur un navigateur, sans avoir à se connecter au réseau.
Phase 4 : sécurité des appareils et de l’IdO (semaines 12 à 16). Déployez le matériel NIAC derrière les systèmes de gestion des bâtiments du campus, les équipements de laboratoire et les capteurs IoT. Limitez la communication aux flux approuvés. Cela permet de fermer les angles morts que les outils de sécurité traditionnels laissent largement ouverts dans les environnements de campus. Le guide de l’architecture Zero Trust couvre la façon dont l’isolation en ligne s’inscrit dans le modèle plus large.
Chaque phase apporte une valeur mesurable de manière indépendante. Une école peut s’arrêter après la phase 1 ou 2 tout en ayant amélioré de manière significative son dispositif de sécurité. Les phases s’appuient les unes sur les autres, mais il n’est pas nécessaire d’avoir terminé les quatre.
Pourquoi aucun fournisseur de SASE ne s’intéresse à l’éducation en Europe, et pourquoi cela importe-t-il ?
Zscaler dispose d’un vaste contenu éducatif, mais il est entièrement axé sur les États-Unis : conformité CIPA, financement E-Rate, exigences FERPA. Fortinet propose une formation gratuite de sensibilisation à la sécurité pour les élèves de la maternelle à la 12e année, mais son positionnement en matière d’éducation est centré sur les cadres réglementaires américains. Cato Networks propose une seule étude de cas sur l’éducation au Japon. Palo Alto Networks positionne Prisma Access à des prix d’entreprise qui dépassent la plupart des budgets éducatifs.
Aucun de ces fournisseurs ne produit de contenu sur la sécurité de l’éducation européenne. Aucun n’aborde les implications de NIS2 pour les écoles. Aucun n’aborde les exigences du GDPR en matière de données des étudiants. Aucun ne positionne ses plateformes en fonction des réalités des équipes informatiques des écoles européennes qui travaillent avec deux à cinq membres du personnel sur plusieurs sites.
Cette lacune est importante. Les écoles européennes qui traitent les données des enfants dans le cadre du GDPR sont soumises à des obligations strictes en matière de souveraineté des données. Une plateforme SASE opérant sous la juridiction américaine crée exactement le type de complications de flux de données que les autorités européennes de protection des données examinent de près. Le guide européen des alternatives SASE explique pourquoi la juridiction du fournisseur est une considération de conformité, et pas seulement une préférence.
Jimber est construit en Europe, traite les données au sein de l’UE et s’aligne sur le GDPR, le NIS2 et les CyberFundamentals. Pour les écoles qui doivent prouver aux conseils d’administration, aux parents et aux autorités de régulation que les données des élèves restent sous juridiction européenne, cela élimine une question de conformité avant même qu’elle ne se pose.
Comment Jimber s’adapte au cas d’utilisation dans le domaine de l’éducation
Jimber propose Real SASE dans une plateforme gérée dans le nuage. Pour les établissements d’enseignement, la valeur pratique se résume à quatre éléments.
Tout d’abord, une seule console pour tout. SD-WAN connectant les bâtiments du campus. SWG filtrant le contenu web pour les étudiants. ZTNA fournissant un accès sécurisé au personnel. FWaaS appliquant des politiques de pare-feu cohérentes. Le tout géré à partir d’une interface unique. Pour le coordinateur informatique d’une école qui est également le service d’assistance, l’ingénieur réseau et le gestionnaire de périphériques, il ne s’agit pas d’une fonctionnalité. C’est une exigence.
Deuxièmement, BYOD sans agents. L’isolation du navigateur permet aux étudiants d’accéder aux ressources web par l’intermédiaire d’un conteneur cloud sécurisé. Pas d’installation de logiciel sur les appareils personnels. Pas de problèmes de gestion des points d’accès. L’élève navigue normalement. L’école est protégée.
Troisièmement, la couverture IoT du campus. Le matériel NIAC place les systèmes de gestion des bâtiments, les équipements de laboratoire et les capteurs IoT sous des contrôles Zero Trust grâce à l’isolation en ligne. Ces appareils ne peuvent pas exécuter d’agents, et les laisser sur des segments de réseau partagés est exactement le risque que NIS2 attend des organisations.
Quatrièmement, une tarification transparente adaptée aux budgets de l’éducation. Pas de facturation basée sur la bande passante qui grimpe en flèche pendant la saison des examens. Pas d’ajouts cachés. Des coûts prévisibles qu’un administrateur d’école peut budgéter annuellement. Pour les institutions qui travaillent avec des partenaires qui gèrent l’informatique de plusieurs écoles, l’architecture multi-tenant de Jimber signifie qu’un partenaire peut servir un district scolaire entier à partir d’une seule plateforme.
Vous êtes prêt à voir à quoi ressemble la sécurité unifiée pour votre école ou votre université ? Réservez une démonstration et voyez comment une console unique remplace le patchwork de pare-feu, de filtres et de VPN que votre équipe informatique gère aujourd’hui.
Section FAQ
Les écoles et les universités sont-elles couvertes par le NIS2 ?
La NIS2 n’impose pas l’inclusion de l’éducation, mais l’article 2, paragraphe 5, point b), permet aux États membres d’inclure les établissements d’enseignement dans son champ d’application. Les Pays-Bas ont déjà inclus les universités dans leur législation sur la cybersécurité. En Belgique, les écoles peuvent être indirectement concernées par les dispositions de la NIS2 relatives à la chaîne d’approvisionnement si elles fournissent des services à des entités réglementées. Indépendamment de la classification officielle, les mesures de sécurité décrites dans le NIS2 représentent une bonne pratique pour tout établissement détenant des données sensibles sur les étudiants.
Comment SASE gère-t-il les appareils BYOD des étudiants sans installer d’agents ?
L’isolation du navigateur crée des sessions en bac à sable où tout le contenu web s’exécute dans un conteneur en nuage. L’étudiant interagit avec un flux visuel de la page, et non avec le code réel. Aucun agent ou logiciel ne doit être installé sur l’appareil personnel. À la fin de la session, le conteneur est détruit avec toutes les menaces qu’il contenait. L’expérience ressemble à une navigation normale, mais aucun contenu malveillant n’atteint jamais l’appareil.
Qu’est-ce qui différencie les réseaux éducatifs des réseaux d’entreprise ?
Les réseaux éducatifs doivent s’adapter à une base d’utilisateurs particulièrement diversifiée. Les étudiants, les professeurs, les chercheurs, le personnel administratif, les visiteurs et les sous-traitants ont tous besoin de niveaux d’accès différents. Le BYOD est la norme et non l’exception. La culture universitaire ouverte est en conflit avec des contrôles de sécurité stricts. Les environnements de campus comprennent des appareils IoT, des systèmes de chauffage, de ventilation et de climatisation aux équipements de laboratoire. Et tout cela est géré par des équipes informatiques qui sont nettement plus petites et moins bien financées que leurs équivalents dans les entreprises.
Une école peut-elle déployer SASE par étapes sans perturber l’enseignement ?
Oui. SASE est modulaire de par sa conception. Une école peut commencer par le SD-WAN pour améliorer la connectivité entre les sites, puis ajouter le filtrage web, puis l’accès Zero Trust pour le personnel, puis l’isolation IoT pour les appareils du campus. Chaque phase apporte une valeur indépendante. Le zero-touch provisioning signifie que l’équipement d’un nouveau site se configure automatiquement. Aucun temps d’arrêt prolongé ou projet de migration complexe n’est nécessaire.
Comment SASE contribue-t-il à la conformité GDPR pour les données des étudiants ?
Les plateformes SASE fournissent un enregistrement centralisé de toutes les décisions d’accès, ce qui soutient le principe de responsabilité en vertu du GDPR. L’accès basé sur l’identité garantit que seul le personnel autorisé peut accéder aux dossiers des étudiants. Les contrôles de posture des appareils vérifient la sécurité des terminaux avant d’accorder l’accès. L’application centralisée des politiques signifie que les contrôles de protection des données s’appliquent de manière cohérente sur chaque site et chaque appareil. Pour les écoles européennes, le choix d’une plateforme qui traite les données au sein de l’UE élimine les complications liées au transfert de données.
Qu’advient-il des dispositifs IoT des campus, tels que les systèmes de gestion des bâtiments ?
Les appareils qui ne peuvent pas exécuter d’agents logiciels, notamment les régulateurs de chauffage, de ventilation et de climatisation, les systèmes de contrôle d’accès, les capteurs de laboratoire et la signalisation numérique, sont isolés derrière le matériel NIAC. Cet isolement en ligne limite la communication de chaque appareil à des flux explicitement approuvés. L’appareil continue à fonctionner normalement, mais il ne peut pas être utilisé comme tremplin pour atteindre d’autres systèmes sur le réseau.
