Adoption de DMARC dans le secteur de l'enseignement supérieur en Europe
Dans cette série d'études sur l'adoption de DMARC, nous examinons les écoles supérieures et les universités européennes en fonction du nombre d'enseignants et d'employés. Tous les établissements ne publient pas leur nombre d'inscriptions, qui fluctue d'une année à l'autre, et nous pensons que le nombre d'employés reflète à la fois l'ampleur et la complexité de l'infrastructure de messagerie électronique d'un établissement.
Les établissements d'enseignement supérieur sont des cibles de choix pour les cybercriminels et sont particulièrement vulnérables aux attaques par hameçonnage et ingénierie sociale.
- Les établissements scolaires détiennent une quantité considérable d'informations personnelles identifiables (IPI) et d'autres données, notamment la propriété intellectuelle, les dossiers des étudiants, des professeurs, du personnel et des anciens élèves, les données financières, les dossiers de recherche et les dossiers de collecte de fonds.
- Les infrastructures décentralisées, l'accès au réseau sur le campus et en dehors, l'informatique parallèle et les systèmes massifs de gestion de l'apprentissage se traduisent par une surface d'attaque plus large et plus difficile à protéger, avec de nombreux points d'entrée.
- Bien que les services informatiques communiquent de plus en plus sur les cyberrisques, il est difficile, compte tenu de la taille et de la composition en constante évolution des campus, de tenir les communautés informées et de les former en permanence sur les questions de sécurité. De ce fait, un plus grand nombre d'employés et d'étudiants tombent dans le piège d'une attaque par hameçonnage.
- Se conformer au GDPR, le principal cadre de protection de la vie privée pour les étudiants en Europe, est un défi car les écoles ne disposent pas des ressources et de l'expertise nécessaires pour mettre en place et maintenir les meilleures pratiques de cybersécurité telles que DMARC.
"L'adoption de DMARC n'est pas seulement une question de conformité, c'est un investissement vital pour protéger la réputation de votre institution, protéger les étudiants et assurer des communications sécurisées. Il est essentiel de donner la priorité à cette étape pour se défendre contre la fraude par courriel et les risques de sécurité. Chez dmarcian, nous avons aidé avec succès des universités comme la Dublin City University à mettre en œuvre DMARC, garantissant ainsi la sécurité des données et la conformité dans toute l'Europe."
-Dermot Harnett, directeur du siège social de dmarcian Europe
Escroqueries par hameçonnage dans le secteur de l'éducation en Europe
Avec plus de 40 000 étudiants, 12 000 employés et 1 000 programmes d'études, l'université de Manchester est l'une des plus grandes universités du Royaume-Uni. En 2023, peu de temps après l'arrivée d'un nouveau RSSI à Manchester, des cybercriminels ont accédé au réseau de l'université par le biais d'un courriel d'hameçonnage.
Après avoir obtenu un premier accès au réseau, l'interlope numérique a pu pénétrer dans les ressources du système et exfiltrer des données. Au moment de la rédaction de cet article, la dernière mise à jour de l'université sur l'incident datait du 25 février 2025 ; vous pouvez la trouver ici.
Heureusement, grâce à une équipe interne et à des partenaires externes, Manchester a pu maintenir la plupart de ses services en ligne pendant la fin de l'année scolaire, une période particulièrement chargée pour les écoles.
Statut DMARC des 500 premiers établissements européens d'enseignement supérieur
Malheureusement, ce que nous constatons dans les 500 premiers domaines de l'enseignement supérieur en Europe, toujours sur la base du nombre de professeurs et de membres du personnel, c'est qu'à peine un quart d'entre eux sont protégés à un taux d'application de p=quarantinequi place un courriel suspect dans votre dossier de courrier indésirable, ou de p=rejectoù le courriel qui ne passe pas l'autorisation DKIM ou SPF n'est pas délivré du tout.
Les 75 % restants sont une combinaison de domaines avec p=nonela politique DMARC "monitoring-but-no-enforcement" ; un enregistrement DMARC qui ne suit pas les meilleures pratiques ; et ceux qui n'ont pas d'enregistrement DMARC du tout.
Questions relatives au FPS
L'authentification SPF a tendance à déconcerter les propriétaires de domaines, et le secteur européen de l'enseignement supérieur n'échappe pas à la règle. Nos recherches ont révélé que 26 % des domaines ont des problèmes SPF, qu'il s'agisse d'un trop grand nombre de recherches, de l'absence d'un enregistrement SPF, d'enregistrements SPF multiples ou d'enregistrements non valides, ce qui indique généralement une erreur de syntaxe.
Un enregistrement SPF valide, précis et aligné permettra d'améliorer la couverture d'authentification, la délivrabilité et la sécurité.
Absence d'adresse de notification de l'EFU
Nous avons constaté que 21 % des domaines de collèges et d'universités européens que nous avons étudiés n'avaient pas d'adresse de rapport RUA, qui détermine l'endroit où les rapports DMARC sont envoyés. L'inclusion d'une adresse RUA est une bonne pratique ; sans elle, il n'y a aucune visibilité sur ce qui utilise votre domaine, pour le meilleur ou pour le pire.
Statut DMARC des 100 premiers établissements d'enseignement supérieur du Royaume-Uni
Dans le secteur de l'enseignement supérieur au Royaume-Uni, nous avons trouvé le plus grand nombre de politiques DMARC avec des niveaux d'application de p=reject et p=quarantine-46%. Le reste des domaines, soit 54 %, n'est pas couvert par la sécurité et l'assurance qu'offre DMARC.
Autre point positif, les domaines britanniques sont ceux qui présentent le moins de problèmes de FPS (20 %) et d'étiquettes RUA manquantes (11 %), ce qui constitue un progrès.
D'autre part, l'étude 2024 Cyber Security Breaches Survey du ministère britannique de la science, de l'innovation et de la technologie, une étude annuelle sur l'impact des cyberattaques sur les entreprises, les organisations caritatives et les établissements d'enseignement, indique que 97 % des établissements d'enseignement supérieur ont subi des violations ou des attaques en 2024.
"Lorsqu'on examine les types d'attaques, "les établissements d'enseignement supérieur se distinguent particulièrement en ce qui concerne les attaques par hameçonnage (100 %), les attaques par usurpation d'identité (90 %), les virus, les logiciels espions ou les logiciels malveillants (77 %), l'accès non autorisé à des fichiers ou à des réseaux par le personnel (27 %), l'accès non autorisé à des fichiers ou à des réseaux par des personnes extérieures (20 %) et toute autre violation ou attaque (47 %)".
Statut DMARC des 100 premiers établissements d'enseignement supérieur français
Avec 19% à p=reject et 13% à p=quarantine32% des domaines des écoles et universités françaises que nous avons étudiés sont à l'abri d'une utilisation dans des attaques de phishing grâce à DMARC. Les 68 % de domaines restants ne sont pas protégés et sont vulnérables aux exploits de domaine parce qu'ils n'ont pas d'enregistrement DMARC ; ils publient un enregistrement de type p=none ou ne respectent pas les meilleures pratiques DMARC, SPF et DKIM. Parmi les cinq ensembles de domaines que nous avons étudiés, nous avons remarqué que les 100 domaines de l'enseignement supérieur français présentent le taux le plus élevé de problèmes d'enregistrement SPF et de balises RUA manquantes ou invalides.
Statut DMARC des 100 premiers établissements d'enseignement supérieur allemands
Parmi les 100 premiers établissements d'enseignement supérieur en Allemagne, nous trouvons le niveau le plus bas de politiques d'application de DMARC, à savoir p=reject ou p=quarantine soit 12 %. La grande majorité de ces domaines (82 %) sont exposés ; sans DMARC, les cybercriminels ont un accès total à ces domaines pour des opérations d'hameçonnage.
Statut DMARC des 30 premiers établissements d'enseignement supérieur irlandais
Un peu plus à l'ouest, en Irlande, nous avons trouvé le taux le plus bas d'application de DMARC avec 7% des principaux domaines de l'enseignement supérieur à p=reject et 7 % à p=quarantine. Cela signifie que 86 % des domaines que nous avons étudiés ne sont pas protégés. En raison du faible nombre d'institutions dans la région, la taille de notre échantillon était de 30 domaines.
L'Irlande n'est pas en reste en ce qui concerne l'adoption de DMARC ; le contrôle du déploiement des normes Internet de la Commission européenne révèle que 36 % des domaines irlandais disposent d'une politique DMARC au niveau de l'application, soit un peu plus que la moyenne de l'UE.
Et comme nous l'avons noté dans notre étude sur l'adoption de DMARC dans le secteur du commerce de détail en Europe, l'Irlande est le pays le plus victime de hameçonnage au niveau mondial, avec près de deux tiers des adultes irlandais victimes de tentatives d'hameçonnage.
Découvrez le parcours DMARC de DCU, qui renforce la sécurité du courrier électronique et contribue à réduire sa charge de support.
Nous sommes là pour aider les écoles européennes
Avec une équipe d'experts en sécurité du courrier électronique et la mission de rendre le courrier électronique et l'internet plus fiables grâce à la sécurité du courrier électronique, dmarcian et ses partenaires aident les institutions académiques à mettre en œuvre le DMARC. Nous aidons les gens à sécuriser leurs domaines contre le phishing et à gérer la sécurité de leurs emails sur le long terme.
Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.
