France Universités :Sécurité des SI; Saison 2. La cybersécurité au coeur de la stratégie de l'ESRI
La collection numérique de l'Amue. Auteur Gilles Roussel, référent Numérique de France Universités et président de l'Université Gustave Eiffel.
La cybersécurité vue de l'Université
Formations des étudiants, sécurisation des SI, sensibilisation de la gouvernance, soutien de l'ANSSI. L 'université se donne les moyens de sa sécurité. Dans un monde toujours plus numérique, si les universités forment les experts de demain et explorent le sujet sous tous ses aspects, elles sont aussi confrontées à une recrudescence d'attaques cyber. Les attaquants se professionnalisant, il est crucial de renforcer les compétences de nos établissements en proposant davantage de formations en cybersécurité, et cela dans un délai contraint. Pour l'État, il s'agit également d'un enjeu pour l'ensemble de la population et les universités doivent s'adapter rapidement pour y répondre.
L'IMPORTANCE DE FORMER ET D'INCLURE DAVANTAGE LES FEMMES
La filière cyber fait déjà face à un déficit de main d'oeuvre alors que la stratégie nationale de l'État est de créer 37 000 emplois supplémentaires d'ici 20251. L'adossement des formations à la recherche a permis aux universités d'identifier, en amont, la cybersécurité comme un enjeu essentiel, et des formations existent déjà dans de nombreux établissements. Comme à l'Université Bretagne Sud qui a fait de la cybersécurité une de ses spécialités et qui « est fière de contribuer à la formation de jeunes diplômés en cyber du Bac+3 au doctorat. L'université se met en ordre de marche pour former encore plus de compétences en formation initiale ou continue », assure Virginie Dupont, vice-présidente de France Universités et présidente de l'Université Bretagne Sud. Autre exemple du côté de l'Université de Poitiers, où a été mis en place une formation d'ingénieur visant à former des spécialistes. « Elle est basée sur une longue expérience en termes de gestion des risques », souligne Virginie Laval, présidente du Conseil de la formation, de la vie étudiante et de l'insertion professionnelle de France Universités et présidente de l'Université de Poitiers. Afin d'identifier les formations de qualité, le label SecNumEdu de l'ANSSI a été lancé en 2017. Il regroupe une grande partie d'entre elles (dont celles présentes à l'Université Bretagne Sud et à l'Université de Poitiers) avec 47 formations initiales et 30 formations continues. Mais une ombre au tableau persiste, dans l'ensemble des formations du territoire, les femmes représentent seulement 14 % des effectifs selon l'ANSSI, leur recrutement est donc une priorité pour les établissements qui adaptent leurs formations avec de nouvelles disciplines et compétences à acquérir par les étudiants.
LES UNIVERSITÉS ET LES ÉCOLES VISÉES PAR LES CYBERATTAQUANTS
Le nombre d'attaques cyber est en augmentation notable ces dernières années (+37 % entre 2020 et 2021) et l'ANSSI considère que 15 % d'entre elles ciblent le milieu éducatif, dont les établissements d'enseignement supérieur et de recherche. Pour Gilles Roussel, référent numérique à France Universités et président de l'Université Gustave Eiffel, « la menace principale identifiée est l'attaque par rançongiciel, mais nous pouvons aussi être victimes de vol de données (de recherche, mais aussi de sujets d'examens) ou de tentative de modification des données de scolarité. La compromission initiale peut cibler n'importe quel compte des usagers de nos systèmes d'information, la plupart du temps par un simple mail d'hameçonnage. »
FRANCE UNIVERSITÉS SE MOBILISE
France Universités s'est saisie de la question de la cybersécurité et en a fait une de ses priorités en 2023-2024, notamment avec de multiples actions de sensibilisation auprès de ses établissements membres, avec l'appui de l'ANSSI. Dans le cadre de son comité numérique, France Universités avait déjà formulé, en 2022, des recommandations pour sécuriser le système informatique des universités. « L'une d'entre elle était de mobiliser les moyens nécessaires aux services de sécurité des systèmes d'informations des établissements. En d'autres termes, et selon les recommandations de l'ANSSI, il faudrait prévoir 10 % des budgets informatiques dans les outillages, mesures et personnels dédiés à la sécurité », précise Gilles Roussel. Aujourd'hui, France Universités poursuit ces travaux avec l'ANSSI. Elle a également dispensé (récemment) à ses membres une formation « Enjeux de Cybersécurité pour nos établissements », dans le cadre de l'offre de formations proposée aux présidentes et présidents membres. L'objectif était « de sensibiliser nos membres aux enjeux de la cybersécurité et aux lourdes conséquences en cas d'attaque, explique Johanne Ferry-Dély, directrice du développement de France Universités. Mais aussi de partager les expériences et bonnes pratiques à mettre en place, afin de penser ensemble l'accompagnement des établissements. »