Les écoles et les organisations qui déploient un grand nombre d’ordinateurs disposent d’un avantage informatique indispensable contre les risques de cybersécurité grâce aux Chromebooks de niveau entreprise.
Les Chromebooks grand public sont dotés de ce que Google appelle une « défense en profondeur », qui offre plusieurs niveaux de protection. Si les attaquants parviennent à contourner une couche, les autres restent en vigueur. Les Chromebooks en réseau déployés dans les systèmes scolaires, les établissements médicaux et les bureaux gouvernementaux bénéficient d’une sécurité multicouche et la renforcent avec des fonctionnalités supplémentaires. L’un d’eux est la sécurité Zero Trust, un cadre qui vérifie chaque utilisateur et chaque appareil.
Tous les appareils Chromebook exécutent ChromeOS, un système d’exploitation intégré construit autour du navigateur Web Chrome de Google. Ils exécutent le même système d’image d’exploitation certifié Google. Cette sécurité renforcée intégrée et ces mises à jour automatiques sont conçues pour une sécurité Zero Trust et ne nécessitent aucune surveillance de la part des utilisateurs.
La résilience des points finaux et la protection des données sont deux composants essentiels du Zero Trust, complétés par une prévention robuste contre la perte de données (DLP) et des contrôles d’accès granulaires. L’exécution de Chromebooks au niveau de l’entreprise sur le réseau d’une organisation est facilement gérée par l’administrateur du système informatique via une console inaccessible aux utilisateurs.
L’approche fonctionne que les étudiants ou les employés utilisent les appareils Chromebook en interne ou à distance, garantissant que les boucliers de sécurité sont toujours activés. Par exemple, les utilisateurs peuvent accéder à leurs appareils à l’aide de codes QR et d’options de connexion basées sur des images.
« Les écoles sont devenues des cibles fréquentes pour les cyberattaques telles que les ransomwares, le phishing et les logiciels malveillants », a déclaré Jeremy Burnett, vice-président de la technologie chez CTL, lors d’un récent séminaire au cours duquel son entreprise a présenté les fonctionnalités de sécurité mises à jour intégrées aux Chromebooks grand public et professionnels.
CTL est un fabricant de Chromebooks et un fournisseur de services OEM ChromeOS qui s’associe à Google pour proposer des solutions sur mesure aux enseignants, aux apprenants et aux entreprises. Ces solutions répondent aux menaces croissantes de cyberattaques auxquelles sont confrontées les écoles et les organisations.
Sécurité fondamentale de ChromeOS
Selon Andrew Luong, ingénieur en réussite partenaire pour Google et ChromeOS, l’objectif est d’avoir une authentification forte avec des seconds facteurs ou clés de sécurité. Malgré les autres options de connexion, les étudiants et autres personnes moins familiarisées avec la technologie préfèrent les mots de passe.
« Obliger les utilisateurs à changer fréquemment leurs mots de passe est complexe, car chaque application que vous utilisez aujourd’hui demande des mots de passe plus longs et plus complexes. C’est devenu assez compliqué », a-t-il déclaré au public du séminaire virtuel.
Le gestionnaire de mots de passe de Google s’est avéré très utile pour générer des mots de passe plus forts, car plus vous devez les modifier, moins vous avez de chances de vous en souvenir. Les différents outils de connexion de Google aident les utilisateurs à gérer de meilleurs mots de passe.
Un autre défi majeur est la santé des appareils, a-t-il ajouté. Les appareils doivent être mis à jour régulièrement avec les derniers correctifs de sécurité.
« C’est grâce à ChromeOS que nous brillons vraiment », a noté Luong. « Les appareils ChromeOS se mettent à jour automatiquement, un avantage clé et un différenciateur, car tous exécutent la même image d’exploitation certifiée Google. »
Cependant, il a ajouté que les équipes informatiques des écoles doivent s’assurer que ces appareils sont connectés pour obtenir ces mises à jour et rester sur la version que vous approuvez conformément à votre district ou à votre école.
L’utilisation de la console d’administration informatique permet de les conserver facilement sur une version particulière de ChromeOS afin que les étudiants puissent passer leurs tests ou que les enseignants ou le personnel puissent utiliser leurs outils de classe.
« Ce que nous faisons dans notre console, c’est d’afficher l’IA de Google et de vous montrer, lorsque vous vous connectez à Cloud Console, que les appareils sont tous à jour », a-t-il déclaré.
Sécurité ChromeOS en coulisses
Les mises à jour sont installées en arrière-plan sur la deuxième copie du système d’exploitation. Le processus n’interfère avec le travail d’aucun utilisateur. Lorsque toutes les mises à jour sont téléchargées, un bouton de redémarrage apparaît pour charger la nouvelle version du système d’exploitation.
Les Chromebooks incluent Verified Boot, une technologie de connecteur de confiance qui vérifie l’intégrité du système d’exploitation lors du démarrage et garantit que le système n’a pas été falsifié. Si une falsification ou une corruption est détectée, le système tente automatiquement de se réparer, souvent en restaurant le système d’exploitation à son état d’origine. Cela garantit que le système d’exploitation reste sécurisé et intact, en corrigeant toute défaillance de son intégrité.
Les Chromebooks d’entreprise disposent désormais de signaux contextuels pour vérifier l’intégrité de la version de ChromeOS en cours d’exécution avant de permettre aux appareils de se connecter aux applications scolaires. Il s’agit d’une innovation dans le cadre de l’architecture Zero Trust, a expliqué Luong.
Une autre fonctionnalité de sécurité récemment ajoutée à la console de gestion informatique est la détection et la réponse aux menaces, qui n’utilisent aucun agent. La licence de gestion permet aux administrateurs de configurer et de surveiller les informations provenant des événements de sécurité des appareils ChromeOS vers le système de notification des événements de sécurité.
« Ainsi, des rapports et des informations centralisés facilitent la mise en place de ce cadre de confiance zéro et améliorent votre cybersécurité », a-t-il déclaré. « ChromeOS dispose d’une protection intégrée contre les logiciels malveillants. Aucun ransomware n’a jamais été signalé (sur les appareils ChromeOS).
Ces fonctionnalités améliorées de cybersécurité d’entreprise sont disponibles via la console d’administration dans le cadre d’un plan sous licence auprès d’un fournisseur agréé tel que CTL pour les appareils d’entreprise. Les Chromebooks grand public disposent tous des autres fonctionnalités mentionnées concernant les mises à jour automatiques et la protection intégrée contre les logiciels malveillants et les antivirus.
Risques internes dans la cybersécurité scolaire
Luong a souligné un point essentiel concernant les protections rigoureuses en matière de cybersécurité inhérentes à tous les appareils Chromebook. Ils ne peuvent pas toujours survivre aux actions imprudentes des employés.
« En matière de phishing, environ 90 % des violations de données dans les écoles primaires et secondaires résultent d’un employé du système qui clique sur un lien – et cela ne porte pas atteinte aux employés du système scolaire », a-t-il déclaré.
Si ce clic entraîne une attaque de ransomware, la faute n’en vient pas aux Chromebooks. Les établissements d’enseignement font partie des secteurs les plus ciblés.
C’est là qu’intervient la formation en cybersécurité. En moyenne, les écoles et collèges américains perdent environ 500 000 dollars par jour en raison des temps d’arrêt provoqués par les attaques de ransomwares. Les enjeux sont donc élevés lorsque quelque chose se produit, a observé Luong.
CyberNut propose une formation de sensibilisation à la sécurité. La plateforme de l’entreprise est conçue pour être extrêmement gamifiée et engageante, basée sur des micro-sessions de formation avec des expériences courtes et gamifiées.
« Le véritable objectif est de permettre aux écoles de mesurer les changements de comportement. Notre succès ne repose pas uniquement sur le fait de cocher une case pour le personnel enseignant après avoir visionné une courte vidéo et répondu à un quiz. Nous sommes concentrés sur le laser et apportons un changement de comportement mesurable grâce à une expérience de formation continue et perpétuelle », a déclaré Oliver Page, co-fondateur et PDG de CyberNut.
Il propose un essai gratuit, permettant aux organisations de se renseigner sur la formation en cybersécurité. Cela comprend une évaluation gratuite de phishing pour voir comment un district scolaire se positionne du point de vue de la sécurité.
Le coût élevé des cyberattaques contre les écoles
La qualité des e-mails de phishing est devenue plus sophistiquée au cours des 10 ou 20 dernières années, les attaques de ransomware contre les écoles primaires et secondaires ayant considérablement augmenté au cours de la dernière année. Selon Page, la plupart de ces attaques proviennent d’e-mails malveillants et de phishing.
«C’est effrayant parce que cela dépend de la façon dont vous calculez ce nombre. Si vous parlez d’écoles qui ont été ciblées d’une manière ou d’une autre et que quelque chose s’est produit, il est plus proche que 100 % des écoles reçoivent chaque jour des e-mails malveillants qui pourraient conduire à une attaque de ransomware. C’est donc répandu », a déclaré Page.
Plusieurs facteurs placent les écoles dans la ligne de mire. L’une des principales causes est le manque de budget, qui entraîne un manque de personnel et d’expertise.
« Cela devient encore pire lorsque nous l’associons à des milliers d’appareils à gérer et à sécuriser. Nous disposons de tonnes de données extrêmement précieuses », a prévenu Page.
L’année dernière, le paiement médian d’un ransomware s’élevait à 6,5 millions de dollars. En plus de cette rançon, vous risquez des millions supplémentaires en frais de récupération.
L’une des réalités est que personne n’enseigne aux étudiants la cybersécurité, a-t-il ajouté. Les parents consacrent en moyenne 46 minutes à éduquer leurs enfants sur la cybersécurité tout au long de leur vie.
« En ajoutant à cela le fait qu’un enfant moyen de plus de 13 ans passe sept heures par jour en ligne, il est facile de voir où se situent la disparité et les inquiétudes », a-t-il conclu.