Skip to main content
Adoption de DMARC dans le secteur de l'enseignement supérieur aux États-Unis et au Canada

Adoption de DMARC dans le secteur de l'enseignement supérieur aux États-Unis et au Canada

- 4 avril 2025
Nouvelles de l'écosystèmeAperçu de la sécurité des courriels

Les attaques par hameçonnage constituent une menace immédiate et croissante pour les établissements d'enseignement supérieur, où les données sensibles et les publics vulnérables sont ciblés par des cybercriminels qui utilisent l'IA pour créer des campagnes frauduleuses, bien que convaincantes.

Dans cet épisode de notre recherche sur l'adoption dans l'enseignement supérieur, nous examinons comment l'adoption de DMARC façonne le paysage de la sécurité du courrier électronique en Amérique du Nord. Nous avons inspecté les domaines parentaux des principaux collèges et universités du Canada et des États-Unis en fonction du nombre d'employés afin d'accéder aux enregistrements DMARC, SPF et DKIM accessibles au public et publiés dans le DNS.

Sur n'importe quel campus et n'importe quel jour, il est courant que les étudiants, le personnel et les enseignants reçoivent un avertissement du service informatique de leur établissement concernant des courriels qui semblent réels mais qui sont en fait des faux. Les membres de la communauté universitaire peuvent facilement se faire piéger lorsqu'ils reçoivent un courriel leur demandant de se connecter, de mettre à jour leur mot de passe de messagerie, de payer une facture, de mettre à jour leurs informations de dépôt direct ou de fournir d'autres informations qui conduisent à un vol de données d'identification. Comme le courriel semble provenir d'une entité connue, les gens croient que le message est légitime.

Les établissements d'enseignement supérieur sont des cibles de choix pour les cybercriminels et sont vulnérables aux attaques de phishing et d'ingénierie sociale. Ils détiennent un trésor de propriété intellectuelle, de dossiers d'étudiants, de professeurs, de personnel et d'anciens élèves, de données financières et de dossiers de collecte de fonds. En outre, l'utilisation accrue des systèmes de gestion de l'apprentissage par les médias sociaux se traduit par une surface d'attaque plus large et plus difficile à protéger, avec de nombreux points d'entrée.

L'un des défis du secteur de l'éducation est la prolifération des technologies, en particulier en ce qui concerne l'utilisation de fournisseurs dont le courrier électronique fait partie de la valeur ajoutée. Dans la majorité des cas, nous constatons qu'une variété de services est utilisée pour le même objectif, ce qui conduit à une prolifération, comme l'utilisation de cinq expéditeurs de courrier en vrac différents alors qu'un seul pourrait être utilisé. Pour être honnête, il s'agit d'un problème de visibilité (et de shadow IT), c'est-à-dire que les personnes qui utilisent Mailchimp dans un département de mathématiques ne savaient pas qu'il existait déjà un compte pour un service d'envoi en nombre similaire.

D'autres défis se cachent sous la surface en raison des nombreuses instances d'un même service. Par exemple, il y a plusieurs années, j'ai travaillé avec une université qui possédait plus de 100 instances de Constant Contact. Il en résulte la nécessité d'un niveau d'investigation plus approfondi, car il n'est pas toujours simple d'identifier les multiples propriétaires de comptes liés à une seule source de courrier électronique ; cette identification est nécessaire pour remédier à la situation. L'accès du personnel informatique aux données DMARC lisibles par l'homme est une première étape essentielle pour déterminer ce qui est utilisé et élaborer un plan d'action pour les prochaines étapes.

La prolifération des technologies, les nombreux domaines générant du courrier électronique pour le personnel et les étudiants, la gestion des SPF, etc. peuvent être décourageants. La bonne nouvelle, c'est qu'avec de la motivation, de la planification et de la persévérance, les catalogues de domaines de ces institutions peuvent être mis en conformité avec DMARC et appliqués.

-Fred Bianchi, directeur de l'unité commerciale américaine de dmarcian

Brèches dans l'enseignement supérieur dans les Amériques

Au début de l'année, à l'Université du Texas à El Paso (UTEP), des cybercriminels se faisant passer pour des responsables de l'UTEP ont envoyé des courriels d'hameçonnage à des étudiants. L'opération de phishing a permis de récolter des informations d'identification bancaire ; par la suite, les informations d'identification des étudiants ont été utilisées pour rediriger des milliers de dollars, dont une grande partie provenait de l'aide aux étudiants, vers des comptes frauduleux. L'UTEP offre des fonds d'aide d'urgence aux étudiants qui ont été touchés par l'attaque de phishing.

Powerschool, un important fournisseur nord-américain de logiciels éducatifs en nuage, a été victime d'une intrusion par le biais d'identifiants de connexion volés. Des informations personnelles identifiables (connues sous le nom de PII) ont été volées, y compris des adresses électroniques, et des milliers de titulaires de comptes ont été avertis qu'ils devaient faire attention aux messages frauduleux envoyés aux adresses électroniques volées.

L'impact immédiat d'un incident de cybersécurité dans une école peut entraîner des perturbations de l'enseignement, de l'apprentissage et des opérations commerciales essentielles. De nombreux districts scolaires ayant subi un incident de cybersécurité évoquent les coûts importants et étendus d'un tel incident :

  • Financiers : coûts attribuables à la perte d'enseignement et d'apprentissage ; coûts de main-d'œuvre résultant du passage à l'exécution manuelle d'opérations et de processus qui, dans des conditions normales, sont automatisés (par exemple, rédaction manuelle des fiches de paie et des paiements aux fournisseurs tiers, etc.) ; frais juridiques et d'assurance ; et coûts à long terme tels que la surveillance du crédit pour les personnes touchées, etc.
  • Politique : Perte de confiance des enseignants, des parents et de la communauté.

Département de l'éducation des États-Unis

Statut DMARC des 500 premiers établissements d'enseignement supérieur américains

Meilleure adoption de DMARC par l'enseignement supérieur américain

Ce que nous constatons dans les 500 premiers établissements d'enseignement supérieur aux États-Unis, c'est que 77 % des domaines parentaux ne sont pas protégés contre l'utilisation dans des exploits par courrier électronique parce qu'ils n'ont pas d'enregistrement DMARC, ont des erreurs dans leurs enregistrements ou ont un enregistrement DMARC avec une valeur de p=none la phase de surveillance qui n'affecte pas la livraison du courrier électronique. Seules 9 % des entreprises sont totalement protégées par des politiques DMARC à p=rejecttandis que 14 % d'entre eux ont une politique p=quarantine où les courriels qui échouent sont envoyés dans les dossiers de spam. 

Voici les résultats complets :

  • 28% n'ont pas d'enregistrement DMARC.
  • 26% ont un dossier au p=none phase de suivi.
  • 23 % ne suivent pas les meilleures pratiques, laissant des domaines exposés ou sans visibilité.
  • 14% ont une politique DMARC de p=quarantinel'avant-dernière progression de la politique avant p=reject.
  • 9% sont à p=rejectet tirent pleinement parti de la protection offerte par DMARC.

Problèmes liés aux enregistrements SPF
Nous avons constaté que lors du déploiement de DMARC, le développement et la publication d'enregistrements SPF sont souvent source de confusion. Les problèmes les plus fréquents que nous avons constatés avec cet ensemble de domaines tournaient autour de SPF. Les problèmes récurrents tels que le trop grand nombre de consultations DNS, les enregistrements SPF multiples, l'absence d'enregistrement SPF ou les enregistrements invalides (généralement dus à des erreurs de syntaxe ) sont monnaie courante.

Meilleures pratiques SPF

Consultez ces lignes directrices pour vous aider à publier des enregistrements SPF précis et sûrs.

Statut DMARC des 100 premiers établissements d'enseignement supérieur canadiens

Top Canada Higher Education adoption de DMARC

Avec 40 % des domaines aux niveaux de politique d'application DMARC suivants p=quarantine ou p=reject et un total de 67 % de domaines avec des enregistrements DMARC, les collèges et universités canadiens sont en bonne voie pour créer un paysage de messagerie électronique sécurisé. Cela dit, 60 % des domaines sont susceptibles d'être utilisés pour des opérations d'hameçonnage parce qu'ils n'ont pas d'enregistrement DMARC, qu'ils ont des erreurs dans leurs enregistrements ou qu'ils ont un enregistrement p=none ou une politique de p=none. 

Les plus optimistes d'entre nous voient les 27% p=none comme un groupe conscient de l'importance du contrôle DMARC et qui a commencé son voyage vers l'application. D'autres pensent que le groupe se repose sur ses lauriers après avoir mis en place une politique de contrôle pour satisfaire une exigence de l'expéditeur telle que celles instituées par Google et Yahoo.

Quelle que soit la perspective, voici ce que nous avons trouvé :

  • 17% n'ont pas d'enregistrement DMARC.
  • 27% ont un p=none enregistrement.
  • 16% ont des problèmes avec leurs dossiers.
  • 26% ont une p=quarantine DMARC.
  • 14% sont à p=reject.
Mise en œuvre de DMARC dans l'enseignement supérieur aux États-Unis et au Canada

Au-delà de sa fonction première de détection des fraudes, DMARC joue un rôle essentiel dans le développement de la confiance au sein des communautés universitaires. Les chercheurs, les enseignants et les étudiants ont tendance à ouvrir et à répondre plus favorablement aux courriels envoyés par des établissements universitaires ayant mis en place des protocoles de sécurité efficaces. Dès que les destinataires reconnaissent qu'une institution utilise DMARC, ils peuvent être assurés que toute communication émanant de cette institution est légitime, ce qui réduit le risque d'être la proie d'attaques par hameçonnage ou d'autres tentatives similaires sur les comptes de courrier électronique.

Cela renforce la sécurité des communications universitaires et crée un environnement plus sûr pour le partage des résultats de la recherche, la collaboration avec les pairs et le discours universitaire. En outre, la fonction de signalement de DMARC permet aux institutions de détecter rapidement les menaces, de prendre des mesures rapides pour faire face aux risques émergents et de limiter les dommages potentiels.

-Alliance pour la gestion du cyberespace

Comment DMARC et dmarcian peuvent aider l'enseignement supérieur à sécuriser les domaines de courrier électronique et à lutter contre le phishing

Nous sommes là pour aider les écoles américaines et canadiennes

Alors que l'adoption de DMARC continue de croître et d'être reconnue comme le contrôle principal pour observer et restreindre l'utilisation des domaines de messagerie, dmarcian s'engage à aider les éducateurs à protéger les étudiants, les employés, les anciens élèves et les donateurs contre la fraude par courrier électronique. Nous aidons les gens à sécuriser leurs domaines contre le phishing et à gérer la sécurité de leurs emails sur le long terme.

Protégez les personnes qui dépendent de votre courrier électronique

Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.

DMARCTendances de l'adoption de DMARCAvantages de DMARCRecherche

Postes connexes