Le 26 septembre 2024, la sénatrice Sophie Briante Guillemont a interrogé la ministre de l’éducation nationale sur les mesures prises pour assurer la cybersécurité des établissements d’enseignement français à l’étranger. Elle a notamment demandé si un audit des systèmes informatiques était envisagé, proposé la création d’un guide pratique à destination des proviseurs et suggéré l’ajout de critères de sécurité spécifiques dans les appels d’offres des espaces numériques de travail (ENT). L’équipe de l’ASFE revient sur la réponse apportée le 5 décembre 2024 par le ministre de l’Europe et des Affaires étrangères, à qui la question a été transmise.
Des cyberattaques ciblant les établissements français à l’étranger
Depuis plusieurs années, des établissements français à l’étranger, dont le lycée Molière de Rio de Janeiro (Brésil), ont été la cible de cyberattaques, compromettant ainsi la sécurité des données scolaires et personnelles des élèves et des professeurs. Plus récemment, en 2023, une série d’alertes à la bombe diffusées via les ENT a mis en évidence la nécessité de renforcer la cybersécurité des établissements.
Des dispositifs de protection pourtant déjà déployés
Afin de renforcer la sécurité des infrastructures numériques, l’Agence pour l’enseignement français à l’étranger (AEFE) a mis en place plusieurs mesures.
- Dès novembre 2018, un audit de cybersécurité et des tests d’intrusion ont été réalisés par la société Axians Cybersecurity dans les établissements en gestion directe (EGD). Un rapport détaillé et un plan d’action avaient par ailleurs été remis à chaque EDG audités.
- Depuis, l’AEFE a élaboré une Politique de sécurité des systèmes d’information (PSSI), alignée sur celle de l’État, et renforce régulièrement la sensibilisation des établissements aux risques numériques : séminaires, note de gouvernance de la cybersécurité, fiche de déclaration d’incident, relais annuel de la campagne européenne du Cybermoi/s, kit de sensibilisation aux risques numériques publié par cybermalveillance.gouv.fr.
Un renforcement de la surveillance et de la prévention
Depuis 2020, les appels d’offres lancés par les services centraux de l’AEFE incluent systématiquement des clauses de sécurité en matière de cybersécurité.
Un nouvel audit interne mené entre avril et octobre 2023 a permis de vérifier la mise en application des recommandations précédentes et d’évaluer l’état des mesures de sécurité en place.
En parallèle, en septembre 2023, l’AEFE a publié un article sur son intranet dédié à la protection des comptes ENT et des logiciels de gestion scolaire. Cet article, mis à jour en avril 2024, contient des fiches pratiques élaborées avec la direction centrale de la police judiciaire et le ministère de l’éducation nationale mises à disposition des chefs d’établissement.
