Une cyberattaque récente qui a touché le plus grand district scolaire du pays rappelle une augmentation des incidents de cybersécurité dans les écoles à travers les États-Unis. À mesure que de telles attaques deviennent plus courantes, les écoles devront peut-être faire plus pour renforcer leur capacité à prévenir les attaques et à garder le secret. fournisseurs à des normes élevées, disent les experts.
Une "tentative d'incident de sécurité" ce mois-ci a mis hors service de nombreux services numériques d'Illuminate Education, notamment un carnet de notes en ligne, Skedula, et une plate-forme connexe axée sur les parents, PupilPath, qui sont utilisés par le système scolaire public de New York. Le service a été interrompu pendant plusieurs semaines, perturbant l'apprentissage au retour des écoles après les vacances. Et même maintenant, certains des autres services de la société semblent toujours en panne, selon les mises à jour de la société.
Les cyberattaques contre les écoles sont en augmentation, selon le dernier rapport disponible du K-12 Security Information Exchange, une organisation nationale à but non lucratif axée sur la cybersécurité et les écoles K-12. Le nombre d'incidents a quintuplé depuis 2016, avec 1 180 incidents signalés liés aux écoles publiques américaines au cours de cette période. Au moins 128 districts scolaires ont connu des attaques répétées.
La hausse se produit à une époque de dépenses record pour l'edtech américaine : les écoles publiques de la maternelle à la 12e année en Amérique dépensaient entre 26 et 41 milliards de dollars par an avant la pandémie, selon les chiffres de l'association à but non lucratif EdTech Evidence Exchange.
Le problème n'est pas seulement une question d'inconvénient, mais une menace potentielle pour la vie privée des étudiants, en particulier dans le cas des carnets de notes numériques et d'autres systèmes d'information sur les étudiants, soulignent les experts.
"Les cyberattaques sont un problème croissant dans les écoles, et les dommages causés aux élèves et à leurs familles ne sont pas théoriques", déclare Elizabeth Laird, directrice de Equity in Technology au Center for Democracy and Technology.
Fruits mûrs
Bien que les districts scolaires fassent un travail décent avec ce qu'ils ont, ils n'ont pas autant de ressources à consacrer à la cybersécurité que les entreprises privées, ce qui peut les faire passer pour des fruits à portée de main pour les attaquants potentiels, déclare Tim Harper, un ancien directeur de la technologie pour les écoles publiques Seminole à Sanford, en Floride, et l'actuel administrateur en résidence de Clever, une plate-forme numérique K-12.
Pour de nombreuses écoles à travers le pays, qui ont besoin d'edtech pour fonctionner, les fournisseurs tiers seraient mieux équipés pour gérer la cybersécurité, affirme Jim Siegl, technologue principal au Future of Privacy Forum. De nombreux districts sont petits et peuvent n'avoir qu'une poignée de personnel pour toutes leurs opérations technologiques.
Jusqu'à présent, les écoles ont réagi en augmentant la formation des enseignants, bien que cette formation se soit davantage concentrée sur la sécurité des élèves que sur la manière dont les enseignants eux-mêmes peuvent prévenir les intrusions en ligne. Selon un rapport du Center for Democracy and Technology, de nombreux enseignants ont reçu une formation sur la confidentialité des élèves, moins ont reçu une formation sur la façon d'éviter les escroqueries par hameçonnage ou ransomware destinées à les inciter à divulguer leurs informations personnelles.
De nos jours, tout système en ligne comporte des compromis et des risques, note Doug Levin, directeur national du K-12 Security Information Exchange.
«Lorsque les districts scolaires adoptent des solutions technologiques pour leurs opérations, ils acceptent le risque de cybersécurité - il fait face à toutes les organisations qui dépendent de la technologie», dit-il.
Tous les risques ne proviennent pas des ordinateurs au sein d'une école. Les nombreux systèmes extérieurs avec lesquels les écoles contractent ne sont pas à l'abri des attaques et échappent au contrôle de l'école.
Même lorsque les écoles sous-traitent leur cybersécurité à une entreprise extérieure, ajoute Levin, "cela ne fait que transférer leur risque à un tiers".
Par exemple, une attaque contre Finalsite, une société de logiciels utilisée par des écoles à travers le pays, a touché environ 5 000 sites Web d'écoles au début du mois. Levin note que bien que Finalsite semble avoir été franc à propos de l'attaque et de sa réponse, il y a encore des questions quant à savoir s'il aurait pu faire plus pour l'empêcher.
Et les entreprises n'ont pas toujours été franches lorsqu'elles ont subi une attaque importante. La Securities and Exchange Commission des États-Unis, par exemple, a annoncé l'année dernière qu'elle avait infligé une amende de 1 million de dollars à Pearson, la société d'édition basée à Londres connue pour ses manuels scolaires, pour régler les accusations selon lesquelles elle avait «trompé les investisseurs sur une cyber-intrusion de 2018 impliquant le vol de des millions de dossiers d'étudiants, y compris les dates de naissance et les adresses e-mail, et avaient des contrôles et des procédures de divulgation inadéquats.
Ce que les écoles peuvent faire, disent les experts, c'est de vérifier avec diligence la technologie qu'elles utilisent. Plus précisément, les écoles devraient insister sur des engagements contractuels en matière d'audits de sécurité et de divulgation rapide des problèmes de sécurité qui pourraient survenir, dit Levin.
Absence de consensus national
Les États-Unis n'ont pas de consensus national sur le type de protections que les parents, les enseignants et les élèves devraient attendre en termes de confidentialité des données des districts scolaires, selon des experts tels que Levin et Harper. En revanche, l'Union européenne a mis en place le Règlement général sur la protection des données, ou RGPD, en 2018, qui énonce les attentes en matière de protection des données et des informations personnelles.
Cependant, les États américains ont commencé à s'attaquer au problème et plus de 100 lois sur la confidentialité des étudiants ont été adoptées depuis 2013, dont beaucoup interdisent la publicité ciblée ou la vente de données, bien que moins de ces lois traitent de la formation ou d'exigences de sécurité significatives. Et les mesures fournissent rarement un financement supplémentaire aux écoles pour les ressources de sécurité ou de confidentialité, soulignent les experts.
Il y a cependant plus d'informations fédérales en cours de route.
En octobre 2021, la loi K12 sur l'amélioration de la cybersécurité est entrée en vigueur. Il charge l'agence fédérale de cybersécurité, CISA, de mener une étude sur les menaces de cybersécurité auxquelles sont confrontés les districts scolaires et de faire des recommandations cette année.
Les experts en cybersécurité disent que c'est un pas dans la bonne direction.
Clarification: Une version précédente de l'histoire citait une estimation différente du montant des dépenses d'edtetch dans les écoles K-12 aux États-Unis