L'attaque Canvas a sorti 275 millions de dossiers d'élèves et d'enseignants en moins d'une semaine. Tout le monde fait mine d'être surpris. Personne ne devrait l'être. Le secteur éducatif est devenu en trois ans la deuxième cible la plus rentable des groupes d'extorsion, et on a regardé ailleurs.

CYBERSÉCURITÉ GÉNÉRALE Education : la cible cyber qu'on a laissé tomber (57c) 📌 Une accumulation de signaux… 🔹 L'illusion du SaaS éducatif 🔸 Le RSSI éducation, ce poste… 🔺 Ce que change l'incident Canvas Les questions à poser dès lundi… ayinedjimi-consultants.fr

Une accumulation de signaux ignorés

PowerSchool en janvier 2025. Illuminate Education en 2024. Finalsite en 2022. La liste des compromissions massives dans l'écosystème edtech américain est documentée depuis cinq ans. Chaque incident a généré son cycle médiatique de 72 heures, ses recommandations de la CISA, ses promesses de rotation de mots de passe. Et puis on est passés à autre chose. Le résultat : Canvas/Instructure aujourd'hui, et ce n'est pas le dernier dossier qu'on ouvrira cette année.

Ce qui distingue le secteur éducatif n'est pas un manque de compétence chez ses RSSI. C'est une équation économique simple. Une université concentre des données extrêmement sensibles : identifiants étudiants, dossiers médicaux des infirmeries, données financières des bourses, recherches en cours, brevets, propriété intellectuelle académique. Un district scolaire centralise les coordonnées de mineurs, les dossiers de protection de l'enfance, les évaluations psychologiques. Tout ça avec des budgets cybersécurité divisés par cinq comparés à ceux d'une banque de taille équivalente.

L'illusion du SaaS éducatif

Le passage massif au SaaS dans les années 2018-2022 a été vendu aux DSI éducation comme une externalisation des risques. La promesse était simple : externaliser le LMS, le SIS, l'ERP scolaire chez des éditeurs spécialisés revenait à externaliser leur cybersécurité, mieux financée et mieux outillée que celle d'un service informatique de campus. La promesse n'était pas mensongère, elle était incomplète.

Ce qui a été externalisé, c'est l'opération technique. Ce qui a été centralisé, c'est la valeur cible. Avant Canvas, un attaquant qui voulait piller 275 millions de dossiers étudiants devait compromettre des milliers d'établissements indépendants. Avec Canvas, un seul périmètre. Une seule chaîne d'approvisionnement. Une seule équipe de réponse à incident. Quand cette équipe tombe, tout le monde tombe avec elle.

Le calcul économique du SaaS reste justifié pour la plupart des établissements pris individuellement. C'est au niveau du système éducatif global que la concentration crée un risque systémique. Personne n'est en charge de cette vue agrégée. Ni les ministères, ni les régulateurs, ni les éditeurs eux-mêmes qui ont intérêt à minimiser cette lecture.

Le RSSI éducation, ce poste oublié

Dans une PME industrielle de 200 salariés, on commence à trouver normal d'avoir un RSSI à mi-temps mutualisé. Dans une université de 50 000 étudiants avec 8 000 personnels, le poste de RSSI est souvent occupé en cumul par le DSI, lui-même très chargé sur les sujets pédagogiques et infrastructure. Quand un poste dédié existe, il est très souvent en grade 2 ou 3 d'une grille publique qui n'attire ni les profils seniors du privé, ni les jeunes diplômés cyber qui partent doubler leur salaire chez un MSSP.

Le terrain le confirme. Les missions d'audit que nous menons dans le secteur éducatif révèlent systématiquement les mêmes lacunes : une absence d'inventaire des intégrations LTI tierces dans le LMS, des comptes d'API à durée illimitée hérités d'anciens projets, des sauvegardes mal isolées du domaine principal, des plans de continuité jamais testés. Aucun de ces points n'est un secret de la profession. Tous demandent du temps humain dédié, qu'on n'a tout simplement pas attribué.

Ce que change l'incident Canvas

L'attaque actuelle aura trois conséquences pratiques sur les douze prochains mois. La première : un afflux de demandes d'audit dans le secteur éducatif privé, motivé par la peur des actions collectives qui ne manqueront pas de pleuvoir. Les business schools françaises clientes de Canvas regardent les class actions américaines en se demandant ce qu'elles diraient à un magistrat français devant la CNIL. Beaucoup vont commander des audits cette année qu'elles auraient repoussés.

La deuxième : une question politique en France et en Europe sur la souveraineté des LMS. L'enseignement supérieur public français utilise très majoritairement Moodle, qui n'est pas concerné par cette attaque. Mais l'enseignement privé, les écoles de commerce, plusieurs grandes écoles d'ingénieurs sont sur Canvas, Brightspace ou Blackboard. La discussion sur l'hébergement de ces plateformes hors UE va resurgir, comme elle resurgit à chaque incident majeur, et comme elle s'enlisera probablement à nouveau faute de portage politique solide.

La troisième, plus discrète : une accélération des attaques opportunistes pendant les semaines qui viennent. Un secteur qui démontre publiquement sa vulnérabilité attire d'autres groupes. Les opérateurs Akira, Royal, et plusieurs ramifications LockBit relookées surveilleront les LMS et SIS éducatifs avec un appétit renouvelé sur juin et juillet. Les périodes de fin d'année universitaire, où les équipes IT sont en sous-effectif et les budgets gelés avant la rentrée, sont historiquement des fenêtres exploitées.

Mon avis d'expert

Le secteur éducatif paye aujourd'hui le prix d'un sous-investissement structurel en cybersécurité que personne ne veut financer parce qu'il ne génère pas de revenus visibles. Cette équation n'a pas changé en dix ans, et elle ne changera pas tant que des dirigeants n'iront pas en justice pour manquement de protection des mineurs. L'incident Canvas est le bon moment pour les conseils d'administration des établissements privés de demander à leur direction où en est exactement leur exposition. Ce n'est pas un sujet de DSI, c'est un sujet de gouvernance.

Les questions à poser dès lundi matin

Pour un dirigeant d'établissement, trois questions concrètes. Premièrement : sur quelles plateformes SaaS éducatives concentrons-nous nos données, et quelle clause contractuelle avons-nous négociée en cas de fuite ? Deuxièmement : avons-nous testé une procédure de notification utilisateur dans les 72 heures requises par le RGPD, ou allons-nous découvrir le sujet le jour de l'incident ? Troisièmement : disposons-nous d'un avocat cyber identifié, qui décrochera son téléphone à 22h un dimanche ?

Pour un DSI ou un RSSI éducation, deux chantiers immédiats. Construire l'inventaire complet des intégrations OAuth, LTI et API entre votre SI et vos plateformes pédagogiques. Beaucoup d'entre vous découvriront en faisant cet exercice des comptes de service oubliés, des intégrations désaffectées non révoquées, des jetons à durée illimitée. Et faire passer en revue de pair l'isolation de vos sauvegardes vis-à-vis des comptes administrateurs principaux : si un attaquant compromet votre identité globale, vos backups doivent rester intouchables.

Conclusion

L'attaque Canvas n'est pas une surprise. Elle est l'aboutissement prévisible d'une politique de sous-investissement cybersécurité dans un secteur qui concentre désormais autant de données qu'une banque. Le débat technique sur les vecteurs d'entrée et les indicateurs de compromission est utile pour les équipes IT. Le débat de fond, lui, est budgétaire et politique. Tant qu'il ne sera pas tenu au bon niveau, le prochain incident est déjà programmé. Et il sera plus gros.

Besoin d'un regard expert sur votre sécurité ?

Discutons de votre contexte spécifique.

Prendre contact

📎 Articles complémentaires

Secteur éducatif sous ransomware : anatomie d'une crise systémique

L'attaque Canvas qui a exfiltré 275 millions de dossiers d'élèves et d'enseignants n'est pas un événement isolé. Elle est l'aboutissement logique d'une décennie de sous-investissement chronique en cybersécurité dans un secteur qui dispose d'une surface d'attaque croissante et de budgets sécurité qui ne représentent qu'une fraction de ceux des autres secteurs régulés.

Pourquoi le secteur éducatif est devenu la deuxième cible des extorsionnistes

La montée en puissance du secteur éducatif comme cible de ransomware et d'extorsion n'est pas aléatoire. Elle s'explique par une convergence de facteurs structurels qui en font une cible particulièrement attractive pour les groupes criminels :

  • Volume et sensibilité des données : les établissements éducatifs collectent et conservent des données extrêmement sensibles sur des mineurs — dossiers médicaux, situations familiales, données de performance, informations sur les parents. Ces données se vendent à prix élevé sur les marchés cybercriminels et permettent une extorsion à double niveau (établissement + familles).
  • Budget sécurité structurellement insuffisant : les établissements publics opèrent avec des contraintes budgétaires qui n'existent pas dans le secteur financier ou industriel. Un lycée de 1 500 élèves n'a généralement pas de RSSI, pas de SOC, pas d'EDR déployé, et une DSI de 1 à 3 personnes qui gère l'infrastructure complète.
  • Adoption technologique accélérée sans maturité sécurité : la pandémie a forcé une numérisation rapide de l'éducation (ENT, LMS, outils collaboratifs) sans que les budgets et les compétences sécurité suivent. La surface d'attaque a explosé en 18 mois.
  • Posture de négociation favorable aux attaquants : un hôpital ou un opérateur d'infrastructure critique est soumis à une pression médiatique et réglementaire intense en cas d'attaque. Un établissement scolaire l'est moins, ce qui laisse aux attaquants plus de temps pour la négociation.

Ce que révèle l'affaire Canvas sur les pratiques des éditeurs SaaS éducatifs

L'attaque Canvas (Instructure) est particulièrement instructive parce qu'elle expose les failles d'un modèle SaaS éducatif qui concentre les données de millions d'élèves chez un nombre restreint d'éditeurs. Quand l'éditeur est compromis, toute sa base de clients l'est simultanément — sans que ces clients aient eu la moindre alerte ou la possibilité d'agir.

Les questions que cette attaque pose pour les établissements et les collectivités qui externalisent leurs systèmes d'information éducatifs :

  • Avez-vous lu et compris les clauses de responsabilité dans votre contrat SaaS éducatif ?
  • Votre éditeur dispose-t-il d'une certification de sécurité (ISO 27001, SOC 2 Type II) vérifiable et à jour ?
  • Quel est le délai de notification contractuel en cas d'incident de sécurité affectant vos données ?
  • Où vos données sont-elles hébergées géographiquement ? Sont-elles soumises au RGPD et aux protections françaises/européennes ?
  • Quel est le processus de restitution de vos données en cas de fin de contrat ou de faillite de l'éditeur ?

Mesures de sécurité réalistes pour les établissements aux budgets contraints

Toutes les mesures de sécurité ne nécessitent pas des budgets importants. Voici les actions à fort impact et faible coût qui permettent de réduire significativement l'exposition d'un établissement éducatif :

  • MFA sur toutes les interfaces d'administration : l'ENT, la messagerie institutionnelle, les accès aux systèmes de gestion scolaire — chacun de ces accès sans MFA est une porte d'entrée potentielle pour un attaquant. La plupart des éditeurs SaaS éducatifs proposent le MFA sans surcoût.
  • Formation anti-phishing des équipes administratives : les attaques de vishing et de phishing ciblent prioritairement les équipes administratives et les agents de hotline. Une session de sensibilisation de 2 heures par an, avec des simulations, réduit significativement le taux de clic sur les liens malveillants.
  • Sauvegardes hors ligne testées : la règle 3-2-1 (3 copies, 2 supports différents, 1 hors ligne) appliquée aux données critiques (notes, dossiers élèves) permet de récupérer après un ransomware sans payer la rançon. Une sauvegarde non testée est une sauvegarde qui ne sera pas restaurée en situation de crise.
  • Segmentation des réseaux pédagogiques : les postes élèves ne doivent pas avoir accès aux systèmes administratifs. Une VLAN dédiée aux usages pédagogiques, séparée du réseau administratif, limite considérablement la propagation d'un malware introduit via un poste élève.

Foire aux questions — Cybersécurité du secteur éducatif

Les établissements éducatifs sont-ils soumis à NIS 2 ?

En France, NIS 2 s'applique aux établissements d'enseignement supérieur qui mènent des activités de recherche. Les établissements scolaires du premier et second degré ne sont pas directement soumis à NIS 2, mais les collectivités territoriales qui les administrent peuvent l'être. L'ANSSI a publié des guides spécifiques pour la sécurisation des établissements scolaires, disponibles gratuitement sur son site.

Que faire en cas d'attaque ransomware dans un établissement scolaire ?

Les premières actions dans les 60 minutes suivant la détection : isoler les machines infectées du réseau (débranchement physique ou désactivation du port switch), alerter le directeur et l'autorité académique, ne pas payer la rançon sans avoir consulté les autorités (Cybermalveillance.gouv.fr, ANSSI pour les établissements publics), déposer plainte au commissariat ou à la gendarmerie, et contacter votre assureur cyber si vous en avez un. La restauration depuis les sauvegardes ne peut commencer qu'après que le périmètre de la compromission a été établi.