L'attaque Canvas a sorti 275 millions de dossiers d'élèves et d'enseignants en moins d'une semaine. Tout le monde fait mine d'être surpris. Personne ne devrait l'être. Le secteur éducatif est devenu en trois ans la deuxième cible la plus rentable des groupes d'extorsion, et on a regardé ailleurs.

Une accumulation de signaux ignorés

PowerSchool en janvier 2025. Illuminate Education en 2024. Finalsite en 2022. La liste des compromissions massives dans l'écosystème edtech américain est documentée depuis cinq ans. Chaque incident a généré son cycle médiatique de 72 heures, ses recommandations de la CISA, ses promesses de rotation de mots de passe. Et puis on est passés à autre chose. Le résultat : Canvas/Instructure aujourd'hui, et ce n'est pas le dernier dossier qu'on ouvrira cette année.

Ce qui distingue le secteur éducatif n'est pas un manque de compétence chez ses RSSI. C'est une équation économique simple. Une université concentre des données extrêmement sensibles : identifiants étudiants, dossiers médicaux des infirmeries, données financières des bourses, recherches en cours, brevets, propriété intellectuelle académique. Un district scolaire centralise les coordonnées de mineurs, les dossiers de protection de l'enfance, les évaluations psychologiques. Tout ça avec des budgets cybersécurité divisés par cinq comparés à ceux d'une banque de taille équivalente.

L'illusion du SaaS éducatif

Le passage massif au SaaS dans les années 2018-2022 a été vendu aux DSI éducation comme une externalisation des risques. La promesse était simple : externaliser le LMS, le SIS, l'ERP scolaire chez des éditeurs spécialisés revenait à externaliser leur cybersécurité, mieux financée et mieux outillée que celle d'un service informatique de campus. La promesse n'était pas mensongère, elle était incomplète.

Ce qui a été externalisé, c'est l'opération technique. Ce qui a été centralisé, c'est la valeur cible. Avant Canvas, un attaquant qui voulait piller 275 millions de dossiers étudiants devait compromettre des milliers d'établissements indépendants. Avec Canvas, un seul périmètre. Une seule chaîne d'approvisionnement. Une seule équipe de réponse à incident. Quand cette équipe tombe, tout le monde tombe avec elle.

Le calcul économique du SaaS reste justifié pour la plupart des établissements pris individuellement. C'est au niveau du système éducatif global que la concentration crée un risque systémique. Personne n'est en charge de cette vue agrégée. Ni les ministères, ni les régulateurs, ni les éditeurs eux-mêmes qui ont intérêt à minimiser cette lecture.

Le RSSI éducation, ce poste oublié

Dans une PME industrielle de 200 salariés, on commence à trouver normal d'avoir un RSSI à mi-temps mutualisé. Dans une université de 50 000 étudiants avec 8 000 personnels, le poste de RSSI est souvent occupé en cumul par le DSI, lui-même très chargé sur les sujets pédagogiques et infrastructure. Quand un poste dédié existe, il est très souvent en grade 2 ou 3 d'une grille publique qui n'attire ni les profils seniors du privé, ni les jeunes diplômés cyber qui partent doubler leur salaire chez un MSSP.

Le terrain le confirme. Les missions d'audit que nous menons dans le secteur éducatif révèlent systématiquement les mêmes lacunes : une absence d'inventaire des intégrations LTI tierces dans le LMS, des comptes d'API à durée illimitée hérités d'anciens projets, des sauvegardes mal isolées du domaine principal, des plans de continuité jamais testés. Aucun de ces points n'est un secret de la profession. Tous demandent du temps humain dédié, qu'on n'a tout simplement pas attribué.

Ce que change l'incident Canvas

L'attaque actuelle aura trois conséquences pratiques sur les douze prochains mois. La première : un afflux de demandes d'audit dans le secteur éducatif privé, motivé par la peur des actions collectives qui ne manqueront pas de pleuvoir. Les business schools françaises clientes de Canvas regardent les class actions américaines en se demandant ce qu'elles diraient à un magistrat français devant la CNIL. Beaucoup vont commander des audits cette année qu'elles auraient repoussés.

La deuxième : une question politique en France et en Europe sur la souveraineté des LMS. L'enseignement supérieur public français utilise très majoritairement Moodle, qui n'est pas concerné par cette attaque. Mais l'enseignement privé, les écoles de commerce, plusieurs grandes écoles d'ingénieurs sont sur Canvas, Brightspace ou Blackboard. La discussion sur l'hébergement de ces plateformes hors UE va resurgir, comme elle resurgit à chaque incident majeur, et comme elle s'enlisera probablement à nouveau faute de portage politique solide.

La troisième, plus discrète : une accélération des attaques opportunistes pendant les semaines qui viennent. Un secteur qui démontre publiquement sa vulnérabilité attire d'autres groupes. Les opérateurs Akira, Royal, et plusieurs ramifications LockBit relookées surveilleront les LMS et SIS éducatifs avec un appétit renouvelé sur juin et juillet. Les périodes de fin d'année universitaire, où les équipes IT sont en sous-effectif et les budgets gelés avant la rentrée, sont historiquement des fenêtres exploitées.

Mon avis d'expert

Le secteur éducatif paye aujourd'hui le prix d'un sous-investissement structurel en cybersécurité que personne ne veut financer parce qu'il ne génère pas de revenus visibles. Cette équation n'a pas changé en dix ans, et elle ne changera pas tant que des dirigeants n'iront pas en justice pour manquement de protection des mineurs. L'incident Canvas est le bon moment pour les conseils d'administration des établissements privés de demander à leur direction où en est exactement leur exposition. Ce n'est pas un sujet de DSI, c'est un sujet de gouvernance.

Les questions à poser dès lundi matin

Pour un dirigeant d'établissement, trois questions concrètes. Premièrement : sur quelles plateformes SaaS éducatives concentrons-nous nos données, et quelle clause contractuelle avons-nous négociée en cas de fuite ? Deuxièmement : avons-nous testé une procédure de notification utilisateur dans les 72 heures requises par le RGPD, ou allons-nous découvrir le sujet le jour de l'incident ? Troisièmement : disposons-nous d'un avocat cyber identifié, qui décrochera son téléphone à 22h un dimanche ?

Pour un DSI ou un RSSI éducation, deux chantiers immédiats. Construire l'inventaire complet des intégrations OAuth, LTI et API entre votre SI et vos plateformes pédagogiques. Beaucoup d'entre vous découvriront en faisant cet exercice des comptes de service oubliés, des intégrations désaffectées non révoquées, des jetons à durée illimitée. Et faire passer en revue de pair l'isolation de vos sauvegardes vis-à-vis des comptes administrateurs principaux : si un attaquant compromet votre identité globale, vos backups doivent rester intouchables.

Conclusion

L'attaque Canvas n'est pas une surprise. Elle est l'aboutissement prévisible d'une politique de sous-investissement cybersécurité dans un secteur qui concentre désormais autant de données qu'une banque. Le débat technique sur les vecteurs d'entrée et les indicateurs de compromission est utile pour les équipes IT. Le débat de fond, lui, est budgétaire et politique. Tant qu'il ne sera pas tenu au bon niveau, le prochain incident est déjà programmé. Et il sera plus gros.

Besoin d'un regard expert sur votre sécurité ?

Discutons de votre contexte spécifique.

Prendre contact