Cybercriminalité: les présidences d’université disposent de leviers concrets face aux attaques qu’ils doivent saisir

Rançongiciels, phishing ciblé, vols de données de recherche, menaces en ligne contre des personnels, la cybercriminalité vise les universités parce qu’elles concentrent des informations sensibles et des réseaux très ouverts. Entre 2023 et 2024, les incidents et tentatives de déstabilisation visant les établissements ont progressé de 7 points, selon l’ANSSI, un signal qui pèse directement sur la continuité des cours, des examens et des activités de laboratoire.

Dans ce contexte, les présidentes et présidents d’université cherchent des leviers d’action plus opérationnels que de simples consignes générales. Le rapprochement entre France Universités et l’OFAC vise précisément à structurer la coopération, améliorer la prévention, accélérer l’accompagnement en cas de crise et diffuser une culture cyber au niveau des équipes dirigeantes, avec l’appui du réseau RECyM.

France Universités et l’OFAC structurent une coopération opérationnelle

Le partenariat entre France Universités et l’OFAC part d’un constat simple, la menace n’est plus marginale et les universités ne peuvent pas répondre seules, campus par campus, à des attaques qui se professionnalisent. L’objectif affiché est de mieux prévenir, partager davantage l’information sur les menaces et améliorer l’accompagnement en cas de crise cyber. Dit autrement, donner aux présidences un point d’appui étatique plus lisible.

Lamri Adoui, président de France Universités, insiste sur la nature des actifs visés, des données de recherche extrêmement sensibles et des attaques destinées à déstabiliser les établissements. Il relie ce risque à un enjeu démocratique, la recherche et la formation étant au cur de l’avenir commun. Ce cadrage change la discussion interne, la cybersécurité n’est plus un sujet technique relégué à la DSI, mais une question de gouvernance.

Concrètement, la coopération annoncée vise aussi à mettre en place des dispositifs de veille plus efficaces. Une présidence qui reçoit une alerte sur une campagne de phishing dans une région donnée peut réagir plus vite, adapter ses messages aux personnels et aux étudiants, et demander un appui quand l’incident dépasse les moyens locaux. Le mot clé, c’est la circulation d’information, pas seulement la réaction après coup.

La formation des équipes dirigeantes est un autre levier central, via le réseau RECyM, rattaché à l’OFAC. Ce réseau sensibilise déjà des TPE/PME et des collectivités, et il est mobilisé pour les établissements d’enseignement supérieur. Pour une présidence, l’enjeu n’est pas d’apprendre à configurer un pare-feu, mais de savoir décider vite, arbitrer un budget, organiser une cellule de crise et poser des règles claires sur les priorités de remise en service.

Les réseaux universitaires, une surface d’attaque ouverte et difficile à fermer

Les universités cumulent trois facteurs qui attirent les attaquants, des réseaux ouverts, des volumes importants de données et une grande diversité d’usages. Un acteur du secteur estime qu’un établissement d’enseignement supérieur subit une intrusion chaque semaine, ce qui donne une idée du rythme, même si toutes les intrusions ne se transforment pas en crise visible. Pour une présidence, ça veut dire une menace quasi continue, pas un événement exceptionnel.

Les profils d’attaquants sont variés. Le crime organisé est souvent mis en avant pour les violations de données et les extorsions, mais des étudiants ou d’autres acteurs peuvent aussi attaquer pour nuire à la réputation ou démontrer une faiblesse. Il existe aussi des logiques d’espionnage, menées par des États-nations ou des entreprises sans scrupules. Dans un laboratoire, une donnée de recherche peut valoir bien plus qu’un mot de passe, et ça change l’échelle du risque.

Les exemples internationaux rappellent que l’enseignement supérieur n’est pas épargné par les fuites massives. L’Université de Floride centrale a subi en 2016 une violation compromettant les informations personnelles d’environ 63 000 personnes, l’analyse ayant montré une recherche de numéros de sécurité sociale. L’Université de Californie à Berkeley a signalé une violation touchant des données financières d’environ 80 000 personnes, sa troisième en 18 mois. Même des institutions très dotées se font surprendre.

Pour une présidence française, ces cas servent de miroir, une attaque peut toucher la scolarité, les finances, les ressources pédagogiques, et la recherche. Le problème, c’est la porosité structurelle, beaucoup d’équipements et de terminaux n’appartiennent pas à l’établissement, et les campus sont multi-sites. Tu peux imposer une règle au siège, mais tu dois aussi la faire vivre dans des composantes, des labos hébergés, des bibliothèques, des services mutualisés.

ANSSI, rançongiciels et phishing: la hausse de 7 points change la gouvernance

La hausse de 7 points des incidents et tentatives de déstabilisation entre 2023 et 2024, relevée par l’ANSSI, pèse sur la façon dont une présidence hiérarchise ses risques. Un rançongiciel, ce n’est pas seulement des fichiers chiffrés, c’est un calendrier d’examens perturbé, des inscriptions bloquées, des services numériques inaccessibles, et une pression médiatique potentielle. Le coût se mesure aussi en perte de temps, en retards de recherche et en défiance interne.

Les universités sont ciblées pour le vol de données sensibles, mais aussi pour la déstabilisation. Les menaces de violence contre des personnes en ligne sont citées parmi les risques, ce qui rappelle que la cybercriminalité déborde parfois sur la sécurité des individus. Pour une présidence, ça oblige à articuler la réponse numérique avec les services juridiques, les ressources humaines, la communication, et parfois les autorités publiques, parce que l’incident n’est pas qu’un problème informatique.

Un point souvent sous-estimé, c’est la difficulté de détecter. Des travaux de référence sur la cybersécurité rappellent qu’il est difficile de se défendre contre un ennemi invisible, et que la détection reste la première étape indispensable. Dans la pratique, ça veut dire outiller la supervision, définir ce qui est normal sur un réseau, et organiser les remontées d’alertes. Sans détection, une présidence découvre parfois la crise au pire moment, quand les services tombent.

Marc, RSSI dans un établissement multi-campus, résume le dilemme avec des mots simples, quand une attaque démarre, la question n’est pas si on a un plan sur papier, c’est si les décideurs savent qui appelle qui, à quelle heure, et avec quel pouvoir de décision. Son point critique, c’est que la gouvernance se teste en conditions réelles, pas dans un diaporama. Et si la présidence n’a pas tranché les priorités à l’avance, la crise tranche à sa place.

RSSI, budget dédié et continuité: les recommandations de gouvernance à appliquer

Les retours d’expérience du secteur insistent sur des mesures de gouvernance très concrètes. Première exigence, la désignation effective d’au moins un RSSI disposant des moyens nécessaires pour agir sur l’ensemble du périmètre. Ce n’est pas un intitulé sur un organigramme, c’est une capacité réelle à imposer des règles, à coordonner des équipes, et à obtenir des arbitrages. Sans ce point d’ancrage, la sécurité se dilue entre services.

Deuxième recommandation, prévoir un ou plusieurs RSSI suppléants pour garantir la continuité, surtout dans des organisations complexes avec composantes et laboratoires. Une crise cyber ne choisit pas son calendrier, elle peut tomber pendant une période d’examens ou de congés. Pour une présidence, la suppléance évite l’effet personne n’ose décider au moment critique. C’est un détail administratif qui devient vital quand les systèmes sont sous pression.

Troisième levier, une trajectoire de renforcement des moyens, avec au moins un RSSI à temps plein et un budget dédié aux projets de sécurité du numérique. Ce point est souvent le plus conflictuel, parce qu’il entre en concurrence avec des besoins visibles, rénovation de locaux, postes d’enseignants, équipements pédagogiques. Mais une attaque peut immobiliser des services entiers. L’arbitrage n’est pas entre confort et sécurité, il est entre continuité et interruption.

Enfin, il faut accepter une réalité, l’enseignement supérieur est singulièrement difficile à protéger, en raison du nombre et de la variété des éléments à sécuriser, scolarité, cours, examens, ressources pédagogiques, laboratoires, données personnelles, et équipements hétérogènes. Les chiffres cités dans des bilans de crise rappellent aussi la diversité des incidents, avec une part liée à des vols ou pertes d’équipements informatiques, évaluée à 11% dans un retour d’expérience. Ce n’est pas glamour, mais c’est une porte d’entrée fréquente.

RECyM et prévention: former les dirigeants et outiller la réponse de crise

La prévention ne se limite pas à envoyer un mail méfiez-vous des liens. Le partenariat prévoit de former les équipes dirigeantes via RECyM, avec une logique de culture cyber. Pour une présidence, l’objectif est de savoir poser des règles simples et applicables, imposer une hygiène numérique minimale, et faire comprendre que la sécurité est un sujet collectif. Les universités ont une culture d’ouverture, il faut donc trouver un équilibre entre accès et contrôle.

Les actions de prévention menées avec les autorités montrent aussi un angle très concret, la lutte contre les virus voleurs de mots de passe, souvent appelés infostealers. En 2023, une action commune de sensibilisation a été proposée au secteur, avec une fiche synthétique décrivant la menace, ses modes d’infection et les bonnes pratiques. Pour une présidence, ce type de support a un avantage, il rend le risque tangible, et il évite les messages trop abstraits qui ne changent pas les comportements.

La réponse de crise doit être pensée comme une organisation, pas comme un réflexe. Les travaux sur les stratégies de lutte contre la cybercriminalité rappellent qu’une approche transdisciplinaire est nécessaire, technologique, juridique, sociologique, économique. Une université doit protéger des droits, des valeurs démocratiques, et des activités de recherche, tout en rétablissant ses services. Ça implique de préparer des scénarios, qui décide de couper un réseau, qui valide une communication, qui coordonne avec les services spécialisés de l’État.

Il y a aussi une nuance à garder en tête, la discrétion des victimes reste fréquente, ce qui limite l’apprentissage collectif. Des analyses sur la cybersécurité notent que la majorité des victimes recherche la discrétion, même si quelques cas emblématiques font la une. Pour les présidences, l’enjeu est de partager au moins les signaux utiles, modes opératoires, vecteurs d’entrée, délais de remise en service, sans exposer inutilement l’établissement. C’est là que des canaux structurés avec l’État peuvent aider, en résultat, à sortir de l’isolement.