October 2024

Cyberattaque à Saclay : comment les universités se défendent-elles ?

Mi-août, l'université Paris-Saclay a subi une cyberattaque d'ampleur. Quelques semaines plus tard, c'est l'université de Reims Champagne-Ardenne qui a été ciblée par des pirates informatiques. Comment les établissements gèrent-ils ces incidents ? Sont-ils devenus plus efficaces pour s'en prémunir ?

Le dimanche 11 août, les agents de la Direction des systèmes d'information (DSI) de l'université Paris-Saclay constatent que leur système fait l'objet d'une cyberattaque. Après avoir averti leur hiérarchie, une cellule de crise est rapidement mise en place pour décider des mesures à prendre.

Plus de 250 attaques informatiques visant des universités françaises ont été recensées entre 2019 et 2023, soit environ une attaque tous les six jours, selon l'Agence de mutualisation des universités et établissements (Amue).

"Avec le responsable de la sécurité des systèmes d'information (RSSI), nous nous disons souvent que la question n'est pas de savoir si nous serons attaqués, mais quand", note Romuald Arnold, vice-président délégué au numérique de l'université de Reims. Il précise que l'incident qui a eu lieu début septembre dans son établissement était relativement mineur.

Réagir selon l'ampleur de l'attaque

Face à une attaque de grande ampleur, savoir réagir rapidement est essentiel. À Reims, un "plan de reprise d'activité" est défini pour chaque service, permettant une reprise en mode dégradé.

Dans des situations telles que celle de Saclay, les universités peuvent bénéficier de l'accompagnement de l'ANSSI (Agence nationale de la sécurité des systèmes d'information). "Elle nous a apporté une expertise de gestion de crise et une expertise technique", décrit Kim Nguyen, vice-président SI et numérique de l'université Paris-Saclay.

Leurs experts ont pu initier la remise en service des infrastructures et enquêter sur l'origine de la faille. "Ils ont exclu toute perte ou vol de données", rassure le vice-président. Fin août, le personnel de Saclay a retrouvé une adresse électronique, bien qu'ils n'aient pas encore accès à leur historique. "L'objectif est de rétablir la majorité des applications d'ici la fin du premier semestre", avance Kim Nguyen.

Le retour à un fonctionnement "normal" dépend de l'ampleur de l'attaque et de la configuration initiale. "L'ANSSI estime que les conséquences pourraient durer plusieurs semaines, voire plusieurs mois", ajoute Kim Nguyen.

S'organiser pour se protéger

"France Universités essaie de sensibiliser les présidents d'universités à la cybersécurité", déclare Gilles Roussel, président de l'université Gustave Eiffel.

La nomination d'un RSSI est une première étape que presque toutes les universités ont franchie. Avec son équipe, il veille à la sécurité numérique des établissements grâce à divers outils – antivirus, pare-feu, systèmes de surveillance – et bénéficie du soutien du CERT (Computer emergency response team) RENATER au niveau national.

"Ses alertes nous permettent notamment de repérer des comptes compromis", explique Cédric Foll, directeur général délégué au numérique de l'université de Lille.

Objectif : 10 % du budget informatique pour la sécurité

Ces efforts en matière de cybersécurité nécessitent des ressources financières. L'ANSSI recommande aux universités de consacrer 10 % de leur budget informatique à la sécurité, un objectif que peu d'établissements atteignent. "Il y a une prise de conscience accrue de la part de notre gouvernance et de nos usagers", précise Cédric Foll, ajoutant que leur budget numérique a été augmenté pour financer des projets de cybersécurité.

Ces projets incluent la sensibilisation au phishing, la supervision de la sécurité par un prestataire externe et la mise en place d'une authentification forte.

"La cybersécurité des universités coûte de plus en plus cher, confirme Gilles Roussel, d'autant que le marché pour recruter des spécialistes est très tendu."

Pourtant, selon Roussel, il est crucial de mettre en place des politiques suivies sur la durée, et non déployées ponctuellement. Cela implique un engagement financier continu.

À Paris-Saclay, "un effort conséquent sur la sécurité existait déjà", assure Kim Nguyen. "Nous le renforçons dès à présent. C'est l'une des raisons pour lesquelles le retour à la normale prend du temps : nous remettons les systèmes en route de manière sécurisée."

Le 9 octobre, un groupe de rançongiciel a revendiqué l'attaque contre l'université Paris-Saclay, menaçant de divulguer des fichiers volés, une nouvelle difficulté pour les équipes, plus de deux mois après l'attaque.