Sécurité numérique

Guides et sensibilisation à la cyber

La cybersécurité, la cyberviolence.

Sensibilisation des élèves des collèges des Yvelines

Quel est l’état de la menace sur nos ENT ?

Les attaquants, par le biais par exemple de campagnes de phishing ou de techniques plus sophistiquées, tentent de compromettre régulièrement des comptes d’usagers afin d’accéder aux ENT. Une fois un ou plusieurs comptes compromis, l’envoi de messages malveillants (alertes à la bombe, menaces terroristes, appels à la haine...) peut alors être opéré par les pirates, visant à désorganiser nos établissements scolaires. Les conséquences sont souvent graves, entraînant la fermeture de la messagerie ou l’évacuation d’établissements par exemple.

Dans de très nombreux cas, les victimes ont fait l’objet d’un piratage de leur compte ENT via des logiciels malveillants appelés "virus stealers" [1] ou "info stealers". Ces "malwares" [2] sont installés à l’insu des utilisateurs, sur la machine de ceux-ci à l’occasion du téléchargement de logiciels piratés (jeux, utilitaires …) ou de la fréquentation de sites illégaux de streaming (vidéos, musiques…) par exemple. Les forums « Discord » très populaires dans la communauté des joueurs de jeux vidéo sont également des vecteurs facilitant la propagation de ce type de virus : les élèves y sont donc particulièrement exposés.

Ces " stealers" une fois installés sur une machine, récupèrent les identifiants de connexion de tous les sites auxquels la victime accède et alimentent, d’une manière automatisée, des bases de données sur le "Darknet" [3] pour le compte des pirates. En l’absence de protection antivirus efficace ou d’autorisations données à mauvais escient par l’utilisateur, ces “malwares” s’installent à bas bruit, sur les machines des victimes, et occasionnent de sérieux dégâts sur nos ENT en compromettant de nombreux comptes d’enseignants, d’élèves ou de parents. Cela ouvre la porte à l’envoi en masse de messages malveillants par des personnes mal intentionnées.

La compromission d’un seul compte peut avoir des répercussions importantes pour l’ensemble de la communauté éducative.

Pourquoi réaliser un exercice de sécurité numérique ?

Afin d’augmenter la résilience de nos systèmes d’information, victimes quotidiennement d’attaques d’envergure, nous devons faire preuve de solidarité en renforçant chacun des maillons humains constitutifs de la chaîne numérique. La prise de conscience qui doit s’opérer, tant au niveau collectif qu’individuel, nécessite la mise en œuvre d’exercices, grandeur nature, à l’instar de ceux pratiqués lors des PPMS (plan particulier de mise en sûreté) afin que les utilisateurs s’entraînent à développer les bons réflexes.

À cette fin, le ministère de l’Éducation nationale, l’académie de Versailles (DRASI et DRANE), le conseil départemental des Yvelines et différents acteurs institutionnels (parquet de Paris - section J3 ; cybermalveillance.gouv.fr ; commandement de la cyberdéfense du ministère de l’Intérieur - COMCYBER-MI), ont organisé, pour la première fois en France, du mardi 21 mai 16h30 au vendredi 24 mai 8h30, un exercice de sécurité numérique intitulé CACTUS à destination de tous les élèves des collèges des Yvelines. Celui-ci s’appuyait sur une simulation de campagne d’hameçonnage (phishing) via un faux compte de messagerie de l’ENT. Le contenu du message piégé incitait les élèves à se rendre sur un site pour télécharger des "jeux vidéo crakés et des cheats gratuits".

Le lien piégé renvoyait en réalité vers une page de sensibilisation hébergée sur le site cybermalveillance.gouv.fr

Cette page comporte, entre autres, une courte vidéo (1min 15s) de prévention mettant en scène un gendarme, par ailleurs champion de e-sport et la cheffe de la section J3 du parquet de Paris, spécialisé dans la lutte contre la cybercriminalité.

Le message de phishing de l’opération CACTUS

De : Jean DOE
Contenu du courriel : Salut, j’ai trouvé un site avec plein de jeux crackés et des cheats gratuits. Va sur sur cactus4ever.fr pour les télécharger.

Quels sont les bons réflexes à mettre en œuvre ?

Ce premier exercice de sécurité numérique était l’occasion d’engager un dialogue entre les élèves et les équipes éducatives afin d’adopter les bons gestes dans le cadre d’une simulation de campagne de phishing, première source de piratage des identifiants de connexion des comptes en ligne.

Dans ce type de situation, il convenait d’abord de rassurer les élèves et les parents en leur donnant quelques conseils permettant de mobiliser la chaîne d’alerte suivante :

 1 Ne pas cliquer sur le lien ou la pièce jointe figurant dans le message.
 2 Informer un enseignant du caractère suspect du message.
 3 Rendre compte au chef d’établissement.
 4 Prendre une capture d’écran du message afin d’identifier l’expéditeur, l’objet, la date et l’heure d’envoi une fois la nature suspecte du message avérée.

Une fois ceci fait, le chef d’établissement déclare dans les meilleurs délais l’incident de sécurité au RSSI de l’académie via la plateforme ARIANE (Assistance et Conseil > CARIINA et moi > Incident de sécurité) en fournissant les preuves collectées.

À l’instar des PPMS, d’autres exercices de ce type seront à l’avenir régulièrement proposés afin d’entraîner la communauté éducative à mettre en œuvre les bons gestes pour répondre efficacement aux menaces en ligne.

Un élève d’un collège des Yvelines découvrant le message de phishing de l’opération CACTUS.

Un élève d’un collège des Yvelines découvrant le message de phishing de l’opération CACTUS.

Opération CACTUS : on en parle dans les médias

Quelques ressources utiles

Pour sensibiliser :

Pour se former :

Pour s’acculturer :

Affiche de lutte contre le piratage à destination des élèves

Titre : Comment lutter contre le piratage informatique ?
Fais les mises à jours de sécurité de tes appareils.
Ne télécharge rien depuis des sites non-officiels.
Méfie-toi des messages inattendus contenant des liens.
Utilise un antivirus à jour, sans jamais le désactiver.
N’utilise pas le même mot de passe partout.
N’enregistre pas ton mot de passe sur des ordinateurs partagés.
Imagine des mots de passe robuste et active l’authentification renforcée.




Découvrir la cybersécurité avec les cadettes de la cyber

Un partenariat avec les cadettes du cyber

L’académie de Versailles, sous la maîtrise d’œuvre de la DSI, de la DANE et du GT intercatégoriel « Sécurité numérique #SecNum » propose, en partenariat avec l’association "Les cadettes de la cyber" , une campagne de sensibilisation à la cybersécurité et à la découverte de ses métiers pour lesquelles la demande est forte (15 000 emplois à pourvoir en France dès à présent).

Ce partenariat permettra à une une cadette de la cyber d’intervenir dans les classes de 4ème, 3ème et 2nde des collèges et lycées publics de l’académie de Versailles appartenant à la zone géographique du "Nord-Est Essonne".

Lors les échanges avec les élèves, l’objectif sera aussi de combattre les stéréotypes de genre en encourageant davantage de jeunes filles à s’orienter vers les filières de la cybersécurité.

Les cadettes de la cyber

Vous souhaitez une l’intervention d’une cadette de la cyber ?

Cette intervention se fera sur demande des établissements volontaires dans la zone géographique du Nord-Est Essonne comprenant les bassins de Montgeron et Savigny-sur-Orge. Les chefs d’établissement des collèges et lycées publics peuvent effectuer une demande en accédant à un formulaire en ligne via le bouton ci-dessous.

S’inscrire à une action de sensibilisation à la cybersécurité




Les BD de sensibilisation produites par la DSI

Les documents proposés sont composés :

  • d’une bande dessinée qui reflète une situation concrète et implique un enseignant ou un acteur de l’Éducation Nationale ;
  • de quelques conseils pratiques et simples pour éviter les situations "dangereuses".
Épisode 1 : Spams, phishing et virus
Spams, phishing et virus : Je réfléchis avant de cliquer
Épisode 2 : Travail à distance
Travail à distance : Conserver une hygiène numérique pour préserver sa cybersanté
Épisode 3 : Mot de passe
Mot de passe : Le mot à ne pas faire passer
Un petit clic peut conduire à un grand couac




L’affiche de l’ANSSI

Une affiche

L’ANSSI [4] a réalisé une affiche présentant :

  • Les bonnes pratiques à adopter au quotidien concernant les mots de passe, les réseaux sociaux, le smartphone, les sauvegardes, les mises à jour et les usages professionnels ou personnels.
  • Les risques principaux qui existent.
  • Les gestes à accomplir en cas de problème.
Affiche sur la sécurité numérique

Sécurité numérique : l’affaire de tous !
 Adopter les bonnes pratiques
 Comprendre les risques et réagir

Un site

Créé par l’ANSSI et le ministère de l’Intérieur, Cybermalveillance.gouv.fr est le dispositif national d’assistance aux victimes d’actes de cybermalveillance, de prévention et sensibilisation aux risques numériques et d’observation de la menace.
Vous trouverez sur ce site davantage d’aide et de conseils concernant la sécurité numérique.




Le cyberguide famille

À l’occasion du cybermois, l’équipe de Cybermalveillance.gouv.fr, présente le Cyber guide famille.

Vous y trouverez 10 recommandations à mettre en œuvre face aux risques Cyber :

  • 1. Protégez vos comptes avec des mots de passe robustes
  • 2. Sauvegardez vos données régulièremement
  • 3. Faites sans tarder les mises à jours de sécurité sur tous vos appareils
  • 4. Utilisez un antivirus
  • 5. Soyez prudents lors de vos achats en ligne
  • 6. Méfiez-vous des messages suspects
  • 7. Apprenez à maîtriser vos réseaux sociaux
  • 8. Evitez les Wi-fi publics ou inconnus
  • 9. Sécurisez vos objets connectés
  • 10. Cyberharcèlement : parlez en !

Une dernière rubrique, pour aller plus loin, aborde aussi la question de comment parler cybersécurité à ses enfants.

Cyberguide famille

Guide cyberfamille
10 bonnes pratiques essentielles pour protéger les usages numériques en famille
Cybermalveillance.gouv.fr




Sensibilisation à la cybersécurité

Les systèmes d’information (SI) de l’Éducation Nationale ainsi que de nombreuses autres organisations subissent chaque jour des tentatives de piratage. Au fil du temps, les assaillants développent des techniques de plus en plus élaborées pour parvenir à leur fin.

Environ 95 % des incidents de cybersécurité sont liés à des erreurs humaines et à des négligences.

Par exemple :

  • l’ouverture de pièces jointes malveillantes ;
  • l’utilisation de mots de passe faibles ou réutilisés ;
  • le manque de mises à jour régulières des systèmes d’exploitation ou des logiciels ;
  • l’absence d’antivirus.

Ces vulnérabilités soulignent l’importance d’une sensibilisation accrue en matière d’hygiène numérique afin de réduire les risques.

Protéger ses informations personnelles, naviguer en toute sécurité et éviter les menaces en ligne nécessitent une compréhension de base des pratiques de cybersécurité.

À cette fin, la DRASI [5], la DRANE [6] site de Versailles et le GT académique "Sécurité numérique" (#SecNum) [7] ont réalisé un support de présentation de sensibilisation à la cybersécurité.

Support de présentation pour sensibiliser à la cybersécurité

Cliquez pour accéder au document au format .pdf

Ce document, d’une durée indicative de présentation de 15 min, peut être utilisé, par exemple, comme support lors de la réunion de pré-rentrée ou lors d’autres temps d’échanges. Il vise à sensibiliser les personnels et enseignants à l’importance d’une bonne hygiène numérique, tant dans le cadre professionnel que familial. Il peut également faire l’objet d’une diffusion à tous les personnels via l’ENT.




La cybersécurité, mon futur métier !

Au mois d’octobre, c’est le cybermois !
#Cybermoi/s 2024 : un mois pour devenir tous #CyberEngagés

À cette occasion et tout au long de l’année scolaire, des experts de Microsoft France pourront, à la demande des établissements volontaires, intervenir dans des classes de 4ème, 3ème et 2nde des collèges et des lycées de l’enseignement public des départements des Yvelines (78) et des Hauts-de-Seine (92). Ainsi, les élèves découvriront :

  • les métiers du cyber
  • les gestes incontournables d’une bonne hygiène numérique.

Les chefs d’établissement des collèges et des lycées des départements 78 et 92 intéressés doivent remplir le formulaire en ligne suivant :

Accéder au formulaire d’inscription

Suite à votre inscription, une équipe de l’association ISSA France, mandatée par Microsoft France, vous contactera afin de fixer un rendez-vous et convenir de la date et du créneau de l’intervention dans votre établissement.

Vous pouvez d’ores et déjà consulter le kit Microsoft : "La cybersécurité, mon futur métier !" disponible sous licence Creative Commons Attribution 4.0 International - (CC BY 4.0).

badge circulaire avec un fond bleu et un contour violet
Badge #CyberEngagés

L’image montre un badge circulaire avec un fond bleu et un contour violet. Le texte à l’intérieur indique : “NOUS SOMMES #CYBERENGAGÉS” en blanc sur le contour violet, et au centre, sur un fond bleu clair, il est écrit “DU 1ER AU 31 OCTOBRE 2024” et “CYBER MOIS” avec des lettres stylisées.




Testez vos compétences en cybersécurité avec Hackropole !

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) vient de dévoiler l’ouverture d’une nouvelle plateforme baptisée

Hackropole

Son objectif est de sensibiliser les citoyens intéressés aux métiers de la cybersécurité. Cette plateforme novatrice propose des épreuves du France Cybersecurity Challenge (FCSC), un concours national. ce concours sélectionne les représentants français pour l’European Cybersecurity Challenge où des jeunes Européens de 14 à 25 ans s’affrontent autour de défis en cybersécurité.

Projet Hackropole

Image d’illustration du projet Hackropole

Ouvert à tous, Hackropole propose plus de 300 épreuves du FCSC [8]. Ces épreuves seront dévoilées progressivement tout au long de l’année afin de proposer aux participants une expérience optimum et unique.

Ces défis sont regroupés dans différentes catégories qui permettent d’explorer le monde de la cybersécurité :

  • Crypto : Analyse et résolution d’algorithmes cryptographiques.
  • Forensics : Jeux d’investigation pour découvrir des indices relatifs à des incidents numériques.
  • Hardware : Exploration des vulnérabilités des appareils physiques.
  • Pwn : Techniques de piratage des systèmes informatiques.
  • Reverse : Analyse du fonctionnement des programmes binaires.
  • Web : Exploitation des vulnérabilités des applications web.
  • Miscellaneous : Combinaison de différents savoir-faire.
Liste des défis

Image d’illustration de la liste des défis

Cette initiative offre l’opportunité, de découvrir le monde dynamique de la cybersécurité qui est un secteur d’activité en plein essor à la recherche de nouveaux talents.




Lutte contre le cyberharcèlement et la haine en ligne

Les éléments de contexte de l’expérimentation

L’académie de Versailles (DRANE et DRASI), la DILCRAH et le Campus Cyber ont organisé, à titre expérimental, courant avril 2024, des ateliers de sensibilisation à la lutte contre le cyberharcèlement et la haine en ligne.

Les objectifs de ces ateliers étaient de :

  • faire découvrir le monde de l’OSINT (Open Source INTelligence) qui est une branche de la cybersécurité s’appuyant sur la collecte et l’analyse de données en source ouverte ;
  • lutter contre la haine en ligne, les discriminations et la désinformation ;
  • acquérir les bons réflexes en cas de cyberharcèlement.

Lors de ces séances, les élèves ont été amenés à réfléchir ensemble aux situations de haine et de discrimination en ligne dont ils avaient été témoins ou victimes.

À partir de ces situations, ils ont élaboré des scénarios qui ont vocation à rejoindre la plateforme nationale TOP (The OSINT Project) consacrée à l’OSINT et accessible gratuitement en ligne à tous les élèves et enseignants.

Ces nouveaux challenges auront pour objectif d’entraîner les élèves à :

  • savoir identifier les situations de haine et de discrimination en ligne ;
  • savoir trouver les informations pour signaler les contenus choquants ou inappropriés ;
  • savoir se protéger et bloquer les interlocuteurs indésirables.

Cela peut également vous intéresser

Vous devez être identifés pour accéder aux ressources téléchargeables

[1Les virus informatiques de type « stealer » sont spécialisés dans le vol d’identifiants (mots de passe d’applications, de VPN, …), de portefeuilles de cryptomonnaies, de cookies de session et autres données stockées notamment dans les navigateurs Internet.

[2Le terme « malware » est un terme générique qui désigne tout type de logiciel malveillant (en anglais « malicious software »), conçu pour s’infiltrer dans votre appareil à votre insu, causer des dommages ou perturbations à votre système, ou encore voler des données.

[3Partie du réseau Internet non indexée par les moteurs de recherche et accessible par des logiciels qui anonymisent les données

[4Agence nationale de la sécurité des systèmes d’information

[5Direction régionale académique des systèmes d’information

[6Délégation régionale académique au numérique éducatif

[7Le groupe de travail académique intercatégoriel "Sécurité numérique" est chargé du pilotage des actions de sensibilisation et d’accuturation à la cybersécurité. En savoir plus.

[8France Cybersecurity Challenge