Demandez une démo

Protéger les fonds de dotation contre les pirates informatiques

Alastair Parr, SVP of Global Products and Services, discute des meilleures pratiques que les universités devraient prendre en compte pour la planification de la réponse aux incidents.
01 octobre 2024
Logo du directeur des investissements

Note du rédacteur : cet article a été publié à l'origine sur ai-cio.com.

Les cyberattaques contre les universités sont montées en flèche depuis la pandémie de COVID-19. En 2023, les écoles et universités américaines ont subi un nombre record de 121 attaques de ransomware, selon Comparitech, soit une augmentation de70 % par rapport aux 71 attaques enregistrées en 2022.

Les universités étant particulièrement exposées aux violations de données, les responsables des investissements en charge des fonds de dotation universitaires doivent être préparés.

"Les fonds de dotation sont une cible de choix pour les malfaiteurs", déclare C. Todd Doss, directeur général senior de la société de conseil en sécurité, enquêtes et conformité Guidepost Solutions LLC. "Pour empêcher les malfaiteurs de pénétrer dans le système, il est essentiel de savoir qui se connecte à leurs systèmes.

Toutefois, en ce qui concerne l'hygiène des universités en matière de cybersécurité, les experts affirment que le secteur de l'éducation est en retard sur les autres grandes industries et qu'il s'efforce de le rattraper.

Des défis distincts

Les universités sont confrontées à des défis particuliers en matière de cybersécurité. Tout d'abord, l'afflux constant de nouveaux étudiants et chercheurs accédant chaque année aux réseaux d'une école complique la protection des données.

"Les universités sont des environnements ouverts de par leur conception", déclare Lou Steinberg, fondateur et associé directeur de la société de recherche numérique CTM Insights LLC. "Nous sommes censés travailler ensemble, ce qui frustre les responsables de la sécurité et crée des opportunités pour les mauvais acteurs.

Cette ouverture, combinée à des contraintes budgétaires et à une infrastructure vieillissante, rend les universités particulièrement vulnérables aux violations de données.

"De nombreuses universités ont des budgets informatiques très limités", ajoute M. Steinberg. "La plupart des universités n'investissent pas assez dans la technologie parce qu'elles se concentrent sur leur produit, qui est soit l'enseignement, soit la recherche.

À la traîne (mais en quête de rattrapage)

Shailendra Fuloria, directeur général des technologies de l'information au niveau mondial et responsable de la sécurité de l'information à la société de services informatiques Nagarro, souligne les quatre étapes clés du maintien d'une cybersécurité adéquate : la protection, la détection, la réponse et la récupération. Avant la pandémie de COVID-19, la plupart des organisations accordaient une importance disproportionnée à la protection. Mais l'augmentation des attaques par ransomware a fait prendre conscience à la plupart des industries qu'"une fois la protection atteinte, elles doivent disposer d'un mécanisme de détection et de réponse rapide, ainsi que d'un système de récupération robuste".

En ce qui concerne cette approche en quatre volets pour maintenir des pratiques de cybersécurité solides, les institutions financières, qui investissent massivement dans la cybersécurité, ont tendance à être plus proactives et mieux préparées à répondre aux attaques. Les universités, en revanche, n'agissent souvent qu'après avoir subi une violation importante.

"Le secteur de l'éducation n'est pas aussi avancé dans le domaine de la protection et de la détection que certaines industries plus établies", déclare M. Fuloria. "Il reste encore beaucoup à faire dans le domaine de l'éducation.

Alors que les universités sont en retard sur de nombreuses industries développées, Fuloria et d'autres experts constatent que les écoles s'efforcent de rattraper leur retard. Cette volonté d'améliorer leurs efforts en matière de sécurité se traduit par des investissements croissants dans les technologies et les stratégies de cybersécurité. John Price, PDG de la société internationale de cybersécurité SubRosa Cyber Solutions LLC, déclare qu'il "constate un grand intérêt de la part des écoles pour l'investissement dans les technologies de détection". M. Price ajoute que de plus en plus d'universités s'orientent vers la sécurisation des états financiers.

Atténuer l'erreur humaine

Le maintien d'une cybersécurité forte ne se limite pas à la lutte contre les attaques. L'erreur humaine reste une vulnérabilité importante. Les attaques par ingénierie sociale sont de plus en plus sophistiquées, utilisant l'intelligence artificielle pour se faire passer pour des fonctionnaires ou créer de fausses vidéos. Les bureaux d'investissement doivent donc s'assurer que leur personnel est correctement formé pour éviter les violations accidentelles ou la mauvaise manipulation d'informations sensibles.

Selon Alastair Parr, vice-président senior des produits et services mondiaux chez le spécialiste de la gestion des risques par des tiers ( Prevalent Inc.), "les êtres humains seront la plus grande source de risque pour une organisation". "Ils doivent être suffisamment formés et, d'une manière générale, sensibilisés à ce que les gens peuvent faire pour obtenir un accès malveillant.

M. Steinberg souligne l'importance de l'authentification multifactorielle et de la limitation de l'accès aux systèmes sensibles. La surveillance des activités inhabituelles peut également aider à détecter rapidement les violations potentielles.

M. Doss, de Guidepost, explique que des acteurs malveillants peuvent compromettre un compte de messagerie, surveiller la correspondance pour identifier qui contrôle les finances, puis attendre un moment opportun, par exemple lorsque la personne est en vacances ou vulnérable, pour s'immiscer dans la conversation.

"Les gens doivent être formés à ce genre de situation", a déclaré M. Doss. "Si quelqu'un vous envoie un courrier électronique pour vous dire qu'il veut changer un numéro d'acheminement, il devrait y avoir des politiques en place pour empêcher cela".

En outre, la cyberassurance est devenue un élément essentiel de la gestion des risques. "La cyberassurance devient de plus en plus obligatoire", déclare M. Parr. "On s'attend à ce que vous ayez une assurance responsabilité civile sur le site cyber ."

Matthieu Chan Tsin, vice-président des services de cybersécurité chez le fournisseur de cyberassurance Cowbell Cyber Inc. souligne l'importance d'une approche proactive. "Les institutions doivent mettre en place un plan complet de réponse aux incidents avant qu'une attaque ne se produise.

Fuloria souligne toutefois que la cyberassurance n'est pas une panacée : elle aide les institutions à se rétablir financièrement, mais ne peut pas réparer les atteintes à la réputation causées par la perte de données.

Chan Tsin ajoute que "l'assurance seule ne suffit pas ; il s'agit de minimiser les risques et d'assurer un rétablissement rapide".

Le passage à l'informatique dématérialisée et à l'IA

Avec des budgets limités et des ressources informatiques restreintes, de nombreuses universités se sont tournées vers l'externalisation pour améliorer leur cybersécurité. Le passage à l'informatique en nuage et aux logiciels en tant que service a permis aux universités d'exploiter les capacités de sécurité de fournisseurs spécialisés, qui disposent souvent de défenses plus avancées que celles que les institutions peuvent se permettre de mettre en place elles-mêmes.

Mais si l'externalisation peut permettre d'accéder à des capacités de sécurité avancées, Michael Richmond, associé et responsable des services de cybersécurité et de criminalistique chez EisnerAmper LLP, met en garde contre les risques encourus.

"Il se peut que vous ayez acquis des compétences techniques, que vous ayez accès à un personnel plus large, avec plus de perspicacité technique, mais ces tiers peuvent être dépendants d'autres tiers", explique M. Richmond. "Cela nécessite un examen approfondi de leurs processus et de leur écosystème, ainsi que des services que vous fournissez réellement".

L'IA transforme également le paysage des menaces et les mécanismes de défense. Alors que les criminels utilisent l'IA pour automatiser les attaques et améliorer les escroqueries par hameçonnage, les équipes de cybersécurité utilisent l'IA pour améliorer la détection des menaces et rationaliser les efforts de réponse. Les outils d'IA peuvent traiter de grandes quantités de données et identifier des schémas impossibles à détecter par des analystes humains. Cela peut aider les universités ou d'autres organisations à repérer rapidement les vulnérabilités et à atténuer les menaces avant qu'elles ne se transforment en véritables attaques.

"L'IA introduit de nouvelles menaces", déclare M. Parr. "Mais pour ce qui est des aspects positifs, cette technologie permet aux organisations d'en faire plus avec moins d'argent.

Alors que les fonds de dotation universitaires font face aux défis de la cybersécurité, les experts insistent sur le respect de principes fondamentaux.

"En fin de compte, les meilleures pratiques en matière de cybersécurité sont les meilleures pratiques en matière de cybersécurité", déclare M. Richmond d'EisnerAmper. "Si vous ne définissez pas ces processus, vous vous exposez à l'échec.