Les \u00e9coles et les universit\u00e9s sont en \u00e9tat de si\u00e8ge. L’\u00e9ducation est d\u00e9sormais le secteur le plus attaqu\u00e9 au niveau mondial, les \u00e9tablissements \u00e9tant confront\u00e9s \u00e0 une moyenne de 4 388 cyberattaques par semaine, selon les donn\u00e9es de Check Point pour le deuxi\u00e8me trimestre 2025. C’est plus du double de la moyenne interprofessionnelle. Pourtant, la plupart des \u00e9quipes informatiques des \u00e9tablissements scolaires se composent d’une ou deux personnes qui g\u00e8rent tout, des projecteurs en panne aux alertes de ransomware. <\/p>\n
Ce guide explique comment une architecture Secure Access Service Edge (SASE) r\u00e9pond aux d\u00e9fis sp\u00e9cifiques auxquels sont confront\u00e9s les \u00e9tablissements d’enseignement : connectivit\u00e9 multi-sites, appareils \u00e9tudiants non g\u00e9r\u00e9s, pression r\u00e9glementaire dans le cadre de GDPR et NIS2, et sous-financement chronique. Il associe chaque composant SASE \u00e0 un probl\u00e8me \u00e9ducatif concret et d\u00e9crit une approche progressive adapt\u00e9e aux r\u00e9alit\u00e9s des budgets informatiques des \u00e9coles. <\/p>\n
L’\u00e9ducation ne s’est pas retrouv\u00e9e en t\u00eate de liste des menaces par hasard. Le secteur combine trois facteurs que les attaquants exploitent : une vaste surface d’attaque, des d\u00e9fenses limit\u00e9es et des donn\u00e9es de grande valeur. <\/p>\n
Sophos a constat\u00e9 que 63% des organisations de l’enseignement primaire\/secondaire et 66% des \u00e9tablissements d’enseignement sup\u00e9rieur ont \u00e9t\u00e9 touch\u00e9s par des ransomwares en 2024. Ces deux chiffres d\u00e9passent la moyenne mondiale intersectorielle de 59 %. Les vuln\u00e9rabilit\u00e9s exploit\u00e9es repr\u00e9sentent 44 % de ces attaques dans les \u00e9coles, et le phishing a augment\u00e9 de plus de 200 % au cours de la m\u00eame p\u00e9riode. <\/p>\n
Les dommages financiers sont importants. Les co\u00fbts moyens de r\u00e9cup\u00e9ration d’un ransomware dans l’enseignement sup\u00e9rieur ont atteint 4,02 millions de dollars en 2024, soit pr\u00e8s de quatre fois plus que l’ann\u00e9e pr\u00e9c\u00e9dente. Selon le rapport 2025 d’IBM, le co\u00fbt moyen d’une violation de donn\u00e9es dans le secteur de l’\u00e9ducation s’\u00e9l\u00e8ve aujourd’hui \u00e0 3,8 millions de dollars. Et la faille de PowerSchool en d\u00e9cembre 2024, la plus importante dans l’histoire de l’\u00e9ducation, a expos\u00e9 les dossiers de 62 millions d’\u00e9tudiants dans 18 000 \u00e9coles de 90 pays. <\/p>\n
Les institutions europ\u00e9ennes sont loin d’\u00eatre \u00e0 l’abri. L’universit\u00e9 technologique d’Eindhoven, aux Pays-Bas, a \u00e9t\u00e9 contrainte d’annuler les cours et de reporter les examens apr\u00e8s qu’une cyberattaque, survenue en janvier 2025, a mis hors service l’ensemble de son r\u00e9seau. La Sorbonne Universit\u00e9, \u00e0 Paris, a subi une attaque visant sa division Polytech. L’universit\u00e9 des sciences appliqu\u00e9es de Francfort a d\u00fb fermer tous ses syst\u00e8mes informatiques en juillet 2024. En Belgique, 120 cas uniques de ransomware ont \u00e9t\u00e9 signal\u00e9s en 2024, et le pays figure dans le top 10 mondial des cyberattaques. <\/p>\n
Le sch\u00e9ma est clair. Les attaquants ciblent l’\u00e9ducation parce que les d\u00e9fenses sont minces et que les donn\u00e9es sont riches : dossiers des \u00e9tudiants, propri\u00e9t\u00e9 intellectuelle de la recherche, informations financi\u00e8res, donn\u00e9es m\u00e9dicales des cliniques du campus et documents d’identit\u00e9 des \u00e9tudiants internationaux. <\/p>\n
Les \u00e9tablissements d’enseignement partagent un ensemble sp\u00e9cifique de d\u00e9fis que les outils de s\u00e9curit\u00e9 traditionnels n’ont jamais \u00e9t\u00e9 con\u00e7us pour r\u00e9soudre.<\/p>\n
Une prolif\u00e9ration de sites multiples avec une s\u00e9curit\u00e9 incoh\u00e9rente.<\/strong> Un district scolaire ou une universit\u00e9 typique fonctionne avec des dizaines de b\u00e2timents : campus, biblioth\u00e8ques, installations sportives, bureaux administratifs, sites satellites. Chaque site a besoin de connectivit\u00e9 et de s\u00e9curit\u00e9. L’approche traditionnelle consiste \u00e0 installer des pare-feu sur chaque site et \u00e0 les g\u00e9rer individuellement. Pour une \u00e9quipe informatique de deux personnes, c’est impossible. L’approche SASE, qui consiste \u00e0 s\u00e9curiser les services distribu\u00e9s sans complexit\u00e9,<\/a> s’applique directement ici. <\/p>\n Des milliers d’appareils non g\u00e9r\u00e9s.<\/strong> Les ordinateurs portables, les tablettes et les t\u00e9l\u00e9phones des \u00e9l\u00e8ves se connectent quotidiennement. Le BYOD n’est pas optionnel dans l’\u00e9ducation, c’est le mod\u00e8le de fonctionnement. Pendant la pand\u00e9mie, des districts comme celui de Colorado Springs sont pass\u00e9s de 15 000 \u00e0 50 000 appareils pratiquement du jour au lendemain. Ces appareils ne peuvent pas \u00eatre enti\u00e8rement g\u00e9r\u00e9s. Ils ne peuvent pas ex\u00e9cuter d’agents d’entreprise. Ils ont besoin d’un mod\u00e8le de s\u00e9curit\u00e9 enti\u00e8rement diff\u00e9rent. <\/p>\n Des \u00e9quipes informatiques r\u00e9duites \u00e0 peau de chagrin avec des charges de travail impossibles \u00e0 assumer.<\/strong> Deux tiers des districts scolaires n’ont pas de poste \u00e0 plein temps dans le domaine de la cybers\u00e9curit\u00e9. Au Royaume-Uni, seuls 37 % des \u00e9tablissements d’enseignement sup\u00e9rieur disposent d’un personnel sp\u00e9cialis\u00e9 dans la cybers\u00e9curit\u00e9. Le coordinateur informatique d’une \u00e9cole moyenne g\u00e8re simultan\u00e9ment l’infrastructure du r\u00e9seau, l’assistance aux utilisateurs, l’approvisionnement des appareils et la r\u00e9ponse aux incidents de s\u00e9curit\u00e9. Toute solution de s\u00e9curit\u00e9 qui n\u00e9cessite une configuration complexe ou une maintenance constante est vou\u00e9e \u00e0 l’\u00e9chec. <\/p>\n L’expansion massive des technologies de l’\u00e9ducation cr\u00e9e un risque pour la cha\u00eene d’approvisionnement.<\/strong> Les \u00e9coles utilisent aujourd’hui en moyenne 2 739 outils ed-tech diff\u00e9rents, soit une croissance de 8 % par an. Chaque outil traite les donn\u00e9es des \u00e9l\u00e8ves. Chacun repr\u00e9sente un vecteur d’attaque potentiel. Chaque outil n\u00e9cessite ses propres politiques d’acc\u00e8s. La faille de PowerSchool a montr\u00e9 ce qui se passe lorsqu’un seul fournisseur de la cha\u00eene d’approvisionnement est compromis : les dossiers de milliers d’\u00e9coles ont \u00e9t\u00e9 expos\u00e9s gr\u00e2ce \u00e0 une s\u00e9rie d’informations d’identification vol\u00e9es. <\/p>\n Une pression r\u00e9glementaire qui ne cesse de cro\u00eetre.<\/strong> Le GDPR s’applique \u00e0 tous les \u00e9tablissements scolaires qui traitent des donn\u00e9es relatives aux \u00e9l\u00e8ves, l’article 8 pr\u00e9voyant une protection renforc\u00e9e des donn\u00e9es relatives aux enfants (la Belgique fixe le seuil de consentement \u00e0 13 ans). Le NIS2 n’impose pas l’inclusion de l’\u00e9ducation, mais l’article 2, paragraphe 5, point b), autorise explicitement les \u00c9tats membres \u00e0 inclure les \u00e9tablissements d’enseignement. Les Pays-Bas ont d\u00e9j\u00e0 d\u00e9cid\u00e9 d’inclure les universit\u00e9s dans leur Cyberbeveiligingswet. En Belgique, les dispositions relatives \u00e0 la cha\u00eene d’approvisionnement du NIS2 pourraient indirectement inclure les \u00e9coles dans le champ d’application. La liste de contr\u00f4le de la conformit\u00e9 au NIS2<\/a> indique ce que les auditeurs attendent des organisations qui se pr\u00e9parent \u00e0 la v\u00e9rification. <\/p>\n La plupart des \u00e9coles s’appuient sur une combinaison de pare-feu sur site (souvent Fortinet FortiGate, Sophos ou Cisco Meraki), de filtrage de contenu web de base, de s\u00e9curit\u00e9 du courrier \u00e9lectronique et de toute protection int\u00e9gr\u00e9e \u00e0 Google Workspace ou Microsoft 365.<\/p>\n Cette pile fonctionnait lorsque les \u00e9tudiants et le personnel \u00e9taient toujours sur le campus. Elle ne fonctionne plus aujourd’hui. Les \u00e9tudiants emportent leurs appareils \u00e0 la maison. Le personnel travaille \u00e0 distance. Les applications en nuage sont la norme. Le p\u00e9rim\u00e8tre du r\u00e9seau s’est dissous il y a des ann\u00e9es, mais l’architecture de s\u00e9curit\u00e9 n’a pas rattrap\u00e9 son retard. <\/p>\n Le filtrage du contenu illustre le probl\u00e8me. Dans la plupart des juridictions, les exigences r\u00e9glementaires imposent aux \u00e9coles de filtrer le contenu du web. Le filtrage traditionnel fonctionne sur le r\u00e9seau de l’\u00e9cole mais \u00e9choue d\u00e8s qu’un \u00e9l\u00e8ve emporte son appareil chez lui. Les \u00e9coles ont besoin d’un filtrage qui suive l’utilisateur, et non l’endroit o\u00f9 il se trouve. Cela n\u00e9cessite une approche bas\u00e9e sur l’informatique d\u00e9mat\u00e9rialis\u00e9e. <\/p>\n Les VPN cr\u00e9ent un autre point de friction. Le personnel administratif et les chercheurs qui acc\u00e8dent \u00e0 distance aux syst\u00e8mes internes b\u00e9n\u00e9ficient d’un large acc\u00e8s au r\u00e9seau par le biais de tunnels VPN. Cela contredit tous les principes de l’acc\u00e8s au moindre privil\u00e8ge et expose les \u00e9coles au risque de compromission d’un seul identifiant. Les recherches men\u00e9es par Verizon confirment le risque : 86 % des compromissions d’applications web dans le secteur de l’\u00e9ducation impliquaient le vol d’informations d’identification. <\/p>\n La segmentation du r\u00e9seau entre les syst\u00e8mes administratifs (finances, dossiers des \u00e9l\u00e8ves, ressources humaines) et les syst\u00e8mes \u00e9ducatifs (gestion de l’apprentissage, technologie des salles de classe) est recommand\u00e9e par tous les cadres de s\u00e9curit\u00e9. Dans la pratique, la plupart des \u00e9coles ne l’ont pas mise en \u0153uvre ou s’appuient sur des configurations VLAN de base qu’un pirate peut contourner une fois \u00e0 l’int\u00e9rieur. <\/p>\n Il en r\u00e9sulte ce que la communaut\u00e9 de la cybers\u00e9curit\u00e9 appelle \u00eatre \u00ab\u00a0riche en cibles, pauvre en cyber\u00a0\u00bb. Les \u00e9coles d\u00e9tiennent certaines des donn\u00e9es les plus sensibles de tous les secteurs, prot\u00e9g\u00e9es par certaines des d\u00e9fenses les plus faibles. <\/p>\n SASE fait converger le r\u00e9seau et la s\u00e9curit\u00e9 en une seule plateforme g\u00e9r\u00e9e dans le nuage. Pour le secteur de l’\u00e9ducation, cette convergence n’est pas un luxe. C’est le seul moyen r\u00e9aliste d’assurer une s\u00e9curit\u00e9 coh\u00e9rente avec une petite \u00e9quipe. <\/p>\nComment les \u00e9coles g\u00e8rent-elles la s\u00e9curit\u00e9 aujourd’hui, et o\u00f9 se situe la faille ?<\/h2>\n
Comment chaque composante de SASE r\u00e9sout un probl\u00e8me d’\u00e9ducation sp\u00e9cifique<\/h2>\n