Ces résultats sont basés sur une analyse des enregistrements DMARC (Domain-based Message Authentication, Reporting and Conformance) des meilleures universités françaises selon le classement Times Higher Education. Dans ce classement des 1500 plus grandes universités mondiales, 39 sont françaises. DMARC est un protocole d’authentification des messages électroniques conçu pour protéger les noms de domaine contre une utilisation abusive par les cybercriminels. Il authentifie l’identité de l’expéditeur avant de permettre à un message d’atteindre sa destination. DMARC comporte trois niveaux de protection : surveillance, quarantaine et rejet ; le rejet étant le plus sûr pour empêcher les messages suspects d’atteindre la boîte de réception.

Plus de 1,6 million d’étudiants sont inscrits dans les universités et 936 000 ont confirmé au moins un vœu d’orientation dans l’enseignement supérieur cette année. Depuis le début de la procédure ParcourSup, les futurs étudiants attendent avec impatience les courriers électroniques concernant leurs demandes d’études après le baccalauréat, parfois dans le stress, condition propice pour baisser la garde face aux pièges de cybercriminels. L’incertitude et le manque de familiarité avec le processus, ainsi que l’augmentation des communications par email, constituent une aubaine pour les cybercriminels qui tentent de tromper les étudiants avec des emails de phishing frauduleux.

« Les établissements d’enseignement supérieur sont des cibles très attrayantes pour les cybercriminels, car ils détiennent des masses de données personnelles et financières sensibles. La pandémie de COVID-19 a provoqué un passage rapide à l’apprentissage à distance, ce qui a entraîné des défis accrus en matière de cybersécurité pour les établissements d’enseignement supérieur, les exposant à des risques importants de cyberattaques malveillantes par courrier électronique, comme le phishing », déclare Loïc Guézo, directeur de la stratégie SEMEA chez Proofpoint. « Le courrier électronique reste le vecteur le plus courant de compromission de la sécurité dans tous les secteurs d’activité. Ces dernières années, la fréquence, la sophistication et le coût des cyberattaques contre les universités ont augmenté. C’est la combinaison de ces facteurs qui rend particulièrement inquiétant le fait que les courriels d’une seule des meilleures universités françaises soit authentifiés par DMARC. »

Les principales conclusions de l’analyse sont les suivantes :
• Une seule des premières universités françaises du classement a mis en œuvre le niveau de protection recommandé et le plus strict (rejet), qui empêche activement les emails frauduleux d’atteindre leurs cibles. Cela signifie que la majorité laisse les étudiants exposés à la fraude par email.
• Alors que 62% d’entre elles ont pris les mesures initiales en publiant un enregistrement DMARC, 7 des universités sont passées de « Pas de politique DMARC » il y a deux ans à « Surveillance basique ». Cette amélioration n’assure évidemment aucun rôle actif de protection mais uniquement un niveau de surveillance minimal.
• Quinze des plus grandes universités françaises (38 %) ne publient aucun enregistrement DMARC.

Le Forum économique mondial indique que 95 % des problèmes de cybersécurité sont dus à une erreur humaine. Pourtant, selon le récent rapport Voice of the CISO de Proofpoint, les responsables de la sécurité informatique (CISO) du secteur de l’éducation sous-estiment ces menaces, 47 % seulement jugeant que les utilisateurs constituent le risque le plus important pour leur organisation. Il est inquiétant de constater que les RSSI du secteur de l’éducation sont aussi ceux qui se sentent le moins soutenus par leur organisation, par rapport à tous les autres secteurs.

Avec le passage à l’apprentissage à distance (et plus récemment à l’apprentissage hybride), les experts Proofpoint prévoient que la menace pour les universités va continuer à augmenter. L’absence de protection contre la fraude par courrier électronique est courante dans le secteur de l’éducation, exposant d’innombrables parties prenantes à des messages frauduleux, également appelés « Business Email Compromising » (BEC).

Les attaques de type BEC sont une forme d’ingénierie sociale conçue pour faire croire aux victimes qu’elles ont reçu un courriel légitime d’une organisation ou d’une institution. Les cybercriminels utilisent cette technique pour extraire des informations personnelles des étudiants et du personnel en utilisant des techniques de leurre et en déguisant les emails en messages du service informatique de l’université, de l’administration ou d’un groupe du campus, dirigeant souvent les utilisateurs vers de fausses pages pour récolter des informations d’identification.

« Les personnes constituent une ligne de défense essentielle contre la fraude par email, mais leurs actions restent l’une des plus grandes vulnérabilités pour les organisations. DMARC reste la seule technologie ouverte capable non seulement de défendre contre l’usurpation de domaine et donc le risque d’usurpation d’identité, mais aussi de les éliminer. Lorsque DMARC est mis en place en mode « rejet », un courriel malveillant d’imposteur ne peut pas atteindre la boîte de réception, ce qui élimine définitivement le risque d’interférence humaine », a conclu Loïc Guézo.

Les bonnes pratiques à appliquer en tant qu’utilisateur :
• Vérifiez la validité de toutes les communications par courrier électronique et faites attention aux messages potentiellement frauduleux se faisant passer pour des organismes d’éducation.
• Méfiez-vous de toute tentative de communication demandant des identifiants de connexion ou menaçant de suspendre un service ou un compte si vous ne cliquez pas sur un lien.
• Suivez les meilleures pratiques en matière d’hygiène des mots de passe, notamment en utilisant des mots de passe forts, en les changeant fréquemment et en ne les réutilisant jamais sur plusieurs comptes.

Cette analyse a été réalisée en août 2022 à l’aide des données du classement des meilleures universités françaises de Times Higher Education.