Cybersécurité des établissements d'enseignement français à l'étranger

Question de Mme BRIANTE GUILLEMONT Sophie (Français établis hors de France - RDSE-R) publiée le 26/09/2024

Mme Sophie Briante Guillemont attire l'attention de Mme la ministre de l'éducation nationale sur la cybersécurité des établissements d'enseignement français à l'étranger.
Professeurs, parents d'élèves et élèves se connectent régulièrement sur des espaces numériques de travail (ENT) qui regroupent un ensemble d'outils pédagogiques mis à leur disposition comme les ressources éducatives, les notes, l'emploi du temps en temps réel ou encore les devoirs à réaliser. Certaines applications et certains lycées ont pu faire l'objet de cyberattaques, les pirates ayant pu accéder à des bases de données, ce qui dans certains pays peut poser de graves problèmes de sécurité.
Elle souhaiterait savoir si un audit des établissements scolaires à l'étranger en matière de cybersécurité est envisagé. Elle sollicite également la rédaction d'un guide pratique à destination des proviseurs pour prévenir la cyber-malveillance et agir en cas d'attaque. Enfin, elle suggère qu'une exigence particulière quant à la sécurité informatique soit demandée lors des appels d'offres d'ENT par les lycées français de l'étranger.

Publiée dans le JO Sénat du 26/09/2024 - page 3212

Transmise au Ministère de l'Europe et des affaires étrangères

Réponse du Ministère de l'Europe et des affaires étrangères publiée le 05/12/2024

En 2018, afin d'évaluer la résistance aux cyberattaques des systèmes d'information de ses services déconcentrés, l'Agence pour l'enseignement français à l'étranger (AEFE) a lancé un marché public dédié à la réalisation d'audits de cybersécurité et de tests d'intrusion au sein de chaque établissement en gestion directe (EGD) du réseau. De novembre 2018 à mai 2019, la société Axians Cybersecurity, titulaire du marché et filiale de Vinci spécialisée dans le domaine de la cybersécurité, a réalisé des audits de site ainsi que des tests d'intrusion auprès des EGD du réseau. A l'issue de ces audits, un rapport détaillé et un plan d'action de mise en conformité sécuritaire ont été fournis aux EGD audités. Sur la base de ces recommandations et du plan d'action transmis aux EGD, un nouvel audit a été mené par la cellule interne de l'AEFE, d'avril à octobre 2023. Il a permis d'évaluer le niveau de réalisation des recommandations formulées et de vérifier sur place l'effectivité des actions mises en oeuvre. Depuis 2018, l'AEFE dispose par ailleurs de sa propre Politique de sécurité des systèmes d'information (PSSI), déclinaison de la Politique de sécurité des systèmes d'information de l'Etat (PSSI-E) et a considérablement renforcé sa communication auprès des établissements du réseau en matière de cybersécurité, en enrichissant régulièrement la rubrique dédiée sur son intranet : note de gouvernance de la cybersécurité, fiche de déclaration d'incident, relais annuel de la campagne européenne du Cybermoi/s, kit de sensibilisation aux risques numériques publié par cybermalveillance.gouv.fr. En outre, le Département des systèmes d'information de l'AEFE intervient spécifiquement sur le thème de la cybersécurité lors du séminaire des nouveaux partants dans le réseau qui se tient chaque année au mois de juillet. En 2023, certains établissements scolaires ont connu une vague importante d'alertes à la bombe, diffusées via les Espaces numériques de travail (ENT) ou des applications de gestion de vie scolaire. En septembre 2023, l'AEFE a publié sur son intranet un article dédié au « piratage des comptes ENT et des logiciels de vie scolaire ». Cet article, actualisé en avril 2024, relaye la fiche virus « dérobeurs » (stealers), éditée par cybermalveillance.gouv.fr en partenariat avec la direction centrale de la police judiciaire (Police nationale) et le ministère de l'éducation nationale et de la jeunesse (MENJ). On y trouve également l'affiche des « 7 conseils pour lutter contre le piratage informatique » éditée par le MENJ. L'ensemble de ces recommandations tient lieu de guide pratique à destination des chefs d'établissement pour prévenir la cybermalveillance et agir en cas d'attaque. Concernant les appels d'offres lancés par les services centraux de l'AEFE, des clauses de sécurité détaillant les exigences souhaitées en matière de cybersécurité y sont systématiquement intégrées depuis 2020.

Publiée dans le JO Sénat du 05/12/2024 - page 4704