Pourquoi ce sujet est-il pertinent pour mon organisation ?

Le comportement humain est la cause la plus fréquente d'incidents de sécurité. Connaître ce sujet et y être sensibilisé réduit directement et de manière mesurable le risque.

Comment 2LRN4 aide-t-il sur ce sujet ?

2LRN4 relie ce sujet à un module de formation orienté risque, à une simulation de phishing optionnelle et à des rapports, pour démontrer la conformité aux autorités et au conseil.

Une formation de sensibilisation suffit-elle ou faut-il plus ?

La formation est un pilier nécessaire mais pas un bouclier complet. Combinez-la à des mesures techniques (MFA, filtrage e-mail), à des procédures et à une culture de signalement pour une protection optimale.

La fuite Canvas/Instructure : risque fournisseur et dépendance au cloud dans l'éducation

En mai 2026, la plateforme d'apprentissage Canvas, mondialement utilisée et fournie par Instructure, a été frappée par une attaque de grande ampleur (attribuée au groupe ShinyHunters). Dans le monde, les données de potentiellement des centaines de millions d'étudiants, d'enseignants et de personnels étaient en jeu, réparties sur des milliers d'établissements. Aux Pays-Bas, sept universités ont confirmé être touchées. L'incident montre une fois de plus que ta plus grande dépendance est parfois une plateforme que tu ne gères pas toi-même.

Ce qui s'est passé

L'attaque a eu lieu en mai 2026 et a frappé Instructure, l'entreprise derrière Canvas. C'est la plateforme d'apprentissage que beaucoup d'établissements d'enseignement supérieur utilisent pour les cours, les notes et la communication avec les étudiants. Comme tant d'établissements tournent sur la même plateforme, une seule intrusion a eu une portée internationale immédiate.

Pour les universités concernées, cela signifiait que des données transitant par Canvas avaient pu tomber entre les mains des attaquants. Lesquelles précisément varie selon l'établissement, mais une plateforme d'apprentissage implique vite des noms, des adresses e-mail, des informations d'études et de cours et des communications internes.

Sous le RGPD, il s'agit d'une violation à notifier : les établissements concernés ont dû la signaler à l'autorité de contrôle (la CNIL) et informer les personnes concernées. Comme le sous-traitant (Instructure) était à la source de la fuite, tout dépend aussi des engagements pris dans le contrat de sous-traitance et de la question de savoir qui est responsable de quoi.

Risque de concentration : une plateforme, une cible

Les services cloud centraux facilitent la vie : un seul système, accessible partout, toujours à jour. Mais cette même centralisation fait d'une telle plateforme une cible attrayante. Celui qui entre une fois accède aux données de milliers d'organisations d'un coup. C'est précisément pourquoi les attaquants visent les grands fournisseurs plutôt que des établissements isolés. On a vu le même schéma lors de l'attaque contre le fournisseur de santé ChipSoft, où un seul système a frappé une grande partie des hôpitaux néerlandais.

Pour l'éducation, c'est d'autant plus pertinent. Universités et écoles partagent souvent les mêmes applications centrales (plateforme d'apprentissage, gestion des étudiants, e-mail), de sorte qu'une attaque contre un fournisseur frappe tout le secteur en même temps. La dépendance est forte et les alternatives limitées.

La leçon pour les responsables de la sensibilisation : on ne peut pas supprimer tout le risque chez son fournisseur, mais on peut préparer son organisation au scénario où un service central est pris en main par un attaquant. Ceux qui savent quoi faire limitent les dégâts.

Commence par l'analyse de risque : parcours toute la triade DIC

Se préparer à une panne ne commence pas par un plan d'action, mais par une analyse de risque. La triade DIC (Disponibilité, Intégrité, Confidentialité) t'aide à déterminer, par système, quelles exigences s'appliquent et quelles mesures conviennent. Parcours les trois de façon délibérée au lieu de ne regarder que les conséquences d'une fuite. Tu veux bien distinguer ces trois objectifs des notions du RGPD ? Lis la différence entre la triade et le RGPD.

Disponibilité : à quel point est-ce grave si cette plateforme tombe un jour ou une semaine ? Si la disponibilité doit être élevée, des mesures plus fortes s'imposent. Demande-toi si un basculement vers une plateforme alternative est possible, si tu disposes d'une sauvegarde récente en dehors de la plateforme, et si tu peux séparer les données de la plateforme. Avec ton propre export ou une copie, tu repars plus vite avec tes cours, la gestion des notes ou tes services pendant une panne.

Intégrité : peux-tu être sûr que les données n'ont pas été manipulées ? Après une intrusion, tu dois pouvoir établir si les notes, dossiers et inscriptions sont toujours exacts. Sans moyen de vérification, tu ne sais pas si tu peux te fier aux données, et après la restauration cela peut être aussi paralysant que la panne elle-même.

Confidentialité : quelles données sont si sensibles que leur exposition cause le plus grand dommage ? En classifiant tes données, tu sais ce qui a besoin d'une protection supplémentaire et ce qui demande de l'attention en premier après une fuite. Cette distinction se fait en amont, comme décrit dans la classification des données et le principe du besoin d'en connaître.

En parcourant les trois ensemble, tu évites de te concentrer uniquement sur la disponibilité et d'oublier l'intégrité ou la confidentialité. La sensibilisation signifie ici que les collègues non techniques réfléchissent aussi : ils savent mieux que quiconque quel système en panne bloque leur travail et quelles données sont cruciales dans leur processus.

La phase la plus dangereuse commence après la fuite

Comme pour les autres grandes fuites, le vol lui-même n'est pas le plus grand risque pour l'utilisateur. C'est le phishing de suivi. Avec des noms, des adresses e-mail et la connaissance qu'une personne est étudiante ou employée d'une université précise, les criminels peuvent envoyer des messages extrêmement crédibles. C'est le même mécanisme qui a provoqué une vague de faux messages après la fuite Odido.

Après une fuite dans l'éducation, attends-toi à des vagues de faux e-mails : 'vérifie si tes données ont fuité', 'reconnecte-toi à Canvas via ce lien', ou 'ton inscription expire, confirme maintenant'. Justement parce que la nouvelle est largement connue, les criminels la surfent immédiatement.

Les étudiants sont ici un groupe vulnérable : jeunes, occupés et habitués à recevoir beaucoup de messages numériques de leur établissement. La sensibilisation ne doit donc pas viser seulement le personnel, mais aussi la manière dont l'établissement communique avec les étudiants.

Ce qu'un contrat de sous-traitance a à voir là-dedans

Quand un fournisseur traite tes données, ton organisation reste généralement le responsable du traitement sous le RGPD. Cela signifie que tu dois fixer à l'avance, dans un contrat de sous-traitance : quelles mesures de sécurité le fournisseur prend-il, comment et à quelle vitesse signale-t-il un incident, et qui informe les personnes concernées ?

L'incident Canvas a montré l'importance de ces engagements. Plus un sous-traitant communique vite et clairement, plus vite l'établissement peut notifier et prévenir ses gens. Sensibilisation et achats se rejoignent ici : ceux qui signent les contrats déterminent en partie la qualité de ta réaction ultérieure.

Pour les responsables de la sensibilisation, c'est l'occasion d'élargir le débat : le risque fournisseur n'est pas seulement un sujet technique ou juridique, mais aussi une question de comportement et de communication.

Comment l'intégrer dans ton programme de sensibilisation

Utilise l'incident Canvas pour mettre deux choses à l'agenda en même temps : la dépendance aux plateformes cloud centrales et l'importance de la vigilance dans la période après une fuite.

Adapte ta campagne aux publics qui comptent vraiment : les achats et les responsables qui gèrent les contrats, plus les canaux de communication vers les étudiants ou les clients.

Public et rythme : donne aux achats et aux délégués à la protection des données un module sur les contrats de sous-traitance et les modalités de signalement ; donne aux équipes de communication et de front-office un plan d'action pour le phishing après une fuite.
Commence par l'analyse de risque : détermine, par système clé, les exigences de confidentialité, d'intégrité et de disponibilité, et définis des mesures de basculement et de sauvegarde pour les systèmes où la disponibilité doit être élevée.
Décide à l'avance quels messages tu envoies et n'envoies pas (par ex. jamais de lien de connexion dans un e-mail), pour que les faux se repèrent plus vite.
Entraîne le scénario où une plateforme centrale tombe ou est prise en main : comment communiques-tu, et comment continues-tu temporairement sur une copie séparée des données ?
Tu veux l'ancrer ? Découvre comment cela fonctionne avec un programme de sensibilisation à la sécurité.

FAQ

Pourquoi une attaque a-t-elle touché autant d'universités à la fois ?

Parce que beaucoup d'établissements utilisent la même plateforme d'apprentissage centrale (Canvas d'Instructure). Une intrusion chez ce fournisseur unique donne d'un coup accès aux données de milliers d'organisations dans le monde. C'est le risque de concentration : une plateforme centrale signifie une cible centrale.

Quel est le plus grand risque pour les étudiants et le personnel après cette fuite ?

Pas le vol lui-même, mais le phishing de suivi. Avec des noms, des adresses e-mail et la connaissance qu'une personne est liée à une université précise, les criminels peuvent envoyer de faux e-mails crédibles : 'vérifie si tu as fuité' ou 'reconnecte-toi via ce lien'. Il faut en avertir spécifiquement.

Comment préparer une organisation à la panne d'une plateforme centrale ?

Commence par une analyse de risque basée sur la triade DIC (Disponibilité, Intégrité, Confidentialité). Si la disponibilité doit être élevée, prends des mesures adaptées : vérifie si un basculement vers une autre plateforme est possible, si tu disposes d'une sauvegarde récente en dehors de la plateforme, et si tu peux séparer les données de la plateforme pour repartir vite avec ton propre export. Parcours ensuite aussi l'intégrité (les données sont-elles encore exactes ?) et la confidentialité (qu'est-ce qui est le plus sensible ?), et entraîne le scénario de basculement à l'avance.

Qui est responsable quand le fournisseur cause la fuite ?

Sous le RGPD, ton organisation reste généralement le responsable du traitement, même quand le fournisseur (le sous-traitant) cause la fuite. C'est pourquoi tu fixes à l'avance, dans un contrat de sous-traitance, la sécurité fournie par le fournisseur, la rapidité de signalement des incidents et qui informe les personnes concernées.