Un nouveau rapport de NTT Application Security montre que l'année dernière, le secteur de l'éducation a connu 408 incidents scolaires divulgués publiquement, notamment des violations de données concernant les étudiants et le personnel, des rançongiciels et autres logiciels malveillants, des attaques par hameçonnage et autres escroqueries d'ingénierie sociale, ainsi qu'une grande variété d'autres incidents.Cela représente 18 % d'incidents de plus que ceux divulgués publiquement au cours de l'année civile précédente et équivaut à plus de deux incidents par jour. Le secteur présente également des taux de correction inférieurs et un délai de réparation supérieur à la moyenne.
Tous secteurs confondus, seuls 46 % des vulnérabilités critiques sont corrigées, ce qui est inquiétant mais ne représente qu'une partie de la situation. Les 46 % de vulnérabilités critiques qui sont corrigées prennent en moyenne plus de 200 jours pour être corrigées une fois que l'organisation a pris des mesures. Ces deux facteurs combinés sont les principaux responsables de l'exposition élevée des applications aux failles.
Dans le domaine de l'éducation, les choses semblent toutefois plus graves. Le délai moyen de correction des vulnérabilités critiques et de haute gravité est actuellement de 206 jours et le taux de correction des vulnérabilités critiques n'est que de 34 %.
Setu Kulkarni, vice-président de la stratégie chez NTT, déclare : "Les statistiques sur la sécurité des applications dans le secteur de l'éducation indiquent que les organisations de ce secteur se concentrent sur une poignée d'applications web critiques et corrigent une poignée de vulnérabilités critiques dans ces applications. Cette approche semble fonctionner si l'on en juge par la stabilité des indicateurs WoE, qui sont en fait en train de s'améliorer. Pour accélérer l'amélioration de la posture globale de sécurité des applications du secteur de l'éducation, les organisations du secteur devraient élargir leur approche pour identifier leur surface d'attaque globale et mettre en place un programme systématique qui couvre progressivement toutes les applications. En outre, les établissements d'enseignement devraient fournir une formation aux meilleures pratiques aux étudiants afin qu'ils puissent rester en sécurité sur Internet, quel que soit l'état de la sécurité applicative des applications avec lesquelles ils interagissent au quotidien. Enfin, les établissements d'enseignement devraient exiger que les produits SaaS et non-SaaS qu'ils utilisent en mode COTS aient été soumis à des programmes AppSec rigoureux."
Source : NTT Application Security
Et vous ?
Trouvez-vous ce rapport pertinent ? A votre avis, quelle est la meilleure approche pour une meilleure prise en charge de la sécurité dans le secteur de l'éducation ?Voir aussi :
Cybermenaces en 2021 - Santé, Éducation, Secteur Financier : les chercheurs de Kaspersky partagent leurs prévisions Les ransomwares sont le deuxième incident de sécurité le plus souvent signalé, représentant 22 % des cas rapportés au premier semestre 2021, le phishing reste en tête avec 40 %, selon CybSafe Les entreprises continuent de rencontrer des difficultés avec la sécurité des applications, alors que les menaces se développent rapidement et ne sont pas détectées à temps, selon NTT Application Secu