Études

Les écoles américaines ont divulgué 28,6 millions de dossiers lors de 1 851 violations de données depuis 2005

Depuis 2005, les districts scolaires et les collèges/universités de la maternelle à la 12e année aux États-Unis ont subi plus de 1 850 violations de données, affectant plus de 28,6 millions de dossiers.

Notre équipe de chercheurs a analysé les données des 15 dernières années pour découvrir où se trouvent les points chauds, les principales causes de ces violations et combien d'étudiants ont été touchés par chaque violation.

Dans notre mise à jour 2021, nous avons constaté que les attaques contre des tiers peuvent avoir un effet catastrophique sur les établissements d'enseignement et leurs données. Cela a été particulièrement le cas en 2020 avec l’impact généralisé de l’attaque du ransomware Blackbaud qui a touché plus de 200 établissements d’enseignement. Même sans Blackbaud, 2020 a quand même été une année importante en matière de violations de données éducatives, malgré la fermeture de nombreux établissements pendant des mois au plus fort de la pandémie.

Principales conclusions:

1 851 violations de données dans les établissements d’enseignement depuis 2005
Au moins 28 569 864 dossiers individuels ont été touchés à la suite de ces violations.
65 pour cent des violations se sont produites dans des établissements postsecondaires
87 pour cent des dossiers concernés provenaient d'établissements postsecondaires
Les piratages sont devenus la principale source de ces violations ces dernières années, les violations internes se multipliant également (notamment en raison d'attaques à grande échelle comme celle contre Blackbaud).
Blackbaud a touché au moins 209 établissements d'enseignement
Le Wyoming est le seul État à n'avoir signalé aucune violation connue en matière d'éducation*

*La plupart des lois sur la notification des violations de données, y compris celles du Wyoming, n'ont été mises en œuvre qu'au cours des dernières années. Des violations peuvent avoir eu lieu avant l'entrée en vigueur de ces réglementations et/ou des violations peuvent être inférieures au seuil requis pour signaler une violation (par exemple, seules les violations qui affectent un certain nombre de personnes nécessitent une divulgation publique).

En 2018, le ministère américain de l’Éducation a renforcé ses exigences en matière de violations de données dans les collèges et universités. Ces institutions doivent désormais déclarern'importe lequelviolation, quel que soit le nombre de dossiers perdus, mais seulement s’il s’agit d’un établissement du Titre IV (ils acceptent un financement fédéral par le biais du programme fédéral d’aide aux étudiants, qui couvre la grande majorité des écoles). Les seules écoles qui n’acceptent pas l’aide fédérale aux étudiants sont une petite minorité composée principalement d’institutions religieuses.

Les 5 États les plus touchés par les violations de données éducatives et les enregistrements touchés

Si nous examinons le nombre de violations commises par les États américains, nous pouvons constater que la Californie est de loin celle qui en compte le plus, représentant 239 des 1 851 violations (13 %).

New York (121), le Texas (98) et le Massachusetts (88) sont les trois autres États les plus touchés. La Floride et l'Illinois occupent la cinquième place avec 77 infractions chacun.

Le Wyoming reste le seul État à n’avoir connu ou signalé aucune violation de données de la maternelle à la 12e année ou dans les collèges au cours des 16 dernières années.

Certains de ces chiffres ne sont pas très surprenants. La Californie, le Texas et New York font partie des dix plus grands États américains et comptent un grand nombre d’étudiants et d’établissements d’enseignement. Le Massachusetts est cependant le 16e État en termes de population et de nombre d’étudiants scolarisés. Mais avec 88 violations au total, ce sont 13 % de violations de plus que la Floride et l’Illinois.

Le Massachusetts est également l'un des cinq États les plus touchés en ce qui concerne le nombre d'enregistrements concernés par ces violations.

Comme on pouvait s'y attendre, la Californie reste au premier rang pour le nombre de dossiers touchés, avec plus de 2,9 millions au total. Cependant, elle est suivie de près par l’Arizona, où seulement un peu moins de personnes ont été touchées – 2,8 millions au total. Les chiffres records de ces deux États sont environ un million de plus que ceux des trois autres États figurant dans le top cinq. La Floride, la Géorgie et le Massachusetts ont également vu environ 1,8 million de dossiers touchés par des violations de données éducatives depuis 2005.

L'Ohio, Washington, le Texas et le Missouri sont les seuls autres États à avoir vu plus d'un million de dossiers concernés par ce type de violations.

La majorité de ces dossiers violés (87 %) concernaient également des collèges/universités. Par exemple, seulement 0,3 % (7 986) des dossiers concernés en Arizona concernaient des écoles de la maternelle à la 12e année. La Californie, l’Ohio et la Floride ont cependant enregistré une proportion plus élevée de violations de dossiers au sein des établissements de la maternelle à la 12e année : 22, 7 et 30 % respectivement.

Le Nevada a enregistré le plus grand nombre de records K-12 battus

Contrairement à ce qui précède, la majorité des dossiers concernés du Nevada (76 %) concernaient des établissements de la maternelle à la 12e année. Par conséquent, le Nevada était également l’État où le plus grand nombre de records dans les écoles primaires et secondaires avaient été battus.

Au total, 717 626 enregistrements auraient été violés dans les établissements de la maternelle à la 12e année (945 172 au total). Cela découle de deux violations particulières qui ont touché les districts scolaires du comté de Washoe (114 000) et du comté de Clark (559 487). Tous deux ont été touchés par la violation de données de Pearson Education, Inc. qui a touché de nombreuses écoles aux États-Unis. Un outil d’évaluation des étudiants fourni par AIMSweb de Pearson a été piraté, laissant exposées certaines informations permettant d’identifier personnellement les étudiants.

De nombreuses violations affectant les écoles primaires et secondaires touchent l’ensemble d’un district scolaire. Cependant, on ne sait pas exactement combien d’écoles du district ont pu être touchées, le chiffre de violation reste donc « 1 ». Certains systèmes de collèges communautaires ont également ce problème d’homonymie.

Le Dakota du Nord a le taux d'étudiants touchés le plus élevé

Pour avoir une idée des États qui ont peut-être subi les pires violations de données, examinons le nombre de dossiers touchés par élève. En utilisant les chiffres d’étudiants les plus récents disponibles, nous pouvons avoir une idée des États qui ont vu le taux de dossiers d’étudiants le plus touché.

La carte ci-dessus montre que le Dakota du Nord a le taux d'élèves concernés le plus élevé, avec plus de 2,3 enregistrements impactés pour 1 élève. Bien que cela ne signifie pas nécessairement que les données de chaque étudiant ont été violées à deux reprises, cela montre que la proportion de dossiers impactés par rapport au nombre d'étudiants au sein de l'État est ici la plus élevée.

L'Arizona (1,6), le Nevada (1,5), le Nebraska (1,3), le Massachusetts (1,1) et le Connecticut (1,1) ont également vu plus de dossiers touchés que les étudiants de l'État.

Les plus grandes violations de données éducatives connues

Selon nos conclusions, dix violations ont touché au moins un demi-million de dossiers. Ceux-ci sont:

2013, violation de données du district du Maricopa County Community College = 2,49 millions d'enregistrements concernés : Un certain nombre de bases de données ont été piratées et les dossiers de près de 2,5 millions d'étudiants, de diplômés et de membres du personnel ont été mis à disposition sur Internet. Cette violation a suscité de nombreuses controverses en raison du temps nécessaire pour que les personnes concernées soient informées.
2017, Harvard Computer Society = 1,4 million d'enregistrements concernés : Dans le cadre de cette violation, plus de 1,4 million de courriels contenant des informations personnelles sur des membres de la Harvard Computer Society ont été accessibles au public pendant un certain temps.
2019, Georgia Tech = 1,27 million d'enregistrements concernés : Une base de données centrale a été piratée, exposant potentiellement les dossiers de près de 1,27 million d'étudiants, de professeurs et de membres du personnel.
2017, Washington State University = 1,12 million d'enregistrements concernés : Les voleurs sont entrés par effraction dans un casier de stockage et ont volé un coffre-fort. Le coffre-fort contenait une sauvegarde du disque dur de l'ordinateur contenant plus d'un million de dossiers personnels, y compris des numéros de sécurité sociale (SSN).
2006, Université de Californie à Los Angeles = 800 000 enregistrements concernés : Les pirates ont eu accès à la base de données de l’université qui contenait des informations personnelles sur de nombreuses personnes, dont la majorité comprenait des étudiants et des candidatures actuels et anciens. Les informations personnelles comprenaient les SSN, les adresses personnelles, les dates de naissance et les coordonnées.
2010, Ohio State University = 750 000 enregistrements concernés : Des individus non autorisés ont réussi à se connecter au serveur de l’université, obtenant ainsi accès aux numéros de sécurité sociale, aux dates de naissance, aux adresses des étudiants actuels et anciens, ainsi qu’à des informations sur le personnel et les membres du corps professoral.
2012, Université du Nebraska = 654 000 enregistrements concernés : Les pirates informatiques ont peut-être eu accès à une base de données contenant des détails sur les étudiants et anciens élèves actuels remontant à 1985.
2020, Metropolitan Community College de Kansas City = 638 186 : Dans cette attaque de ransomware, le pirate informatique aurait pu accéder aux données sensibles de plus de 630 000 étudiants anciens, potentiels et actuels.
2019, district scolaire du comté de Clark = 559 487 dossiers concernés : Comme mentionné précédemment, cette violation faisait partie de la violation de données de Pearson’s Education, Inc. qui a touché de nombreux districts scolaires.
2018, district scolaire unifié de San Diego = 500 000 dossiers concernés : Une attaque de phishing a permis aux pirates d’accéder à la base de données centrale des étudiants du district.

Les années les plus importantes pour les violations de données éducatives

Selon le graphique ci-dessous, 2020 a été l’année la plus importante en matière de violations de données éducatives avec 353 au total. Cela découle en grande partie de la violation Blackbaud qui a touché 209 établissements d’enseignement (au moins), représentant 59 pour cent des violations de l’année.

2020 a également été l’une des années les plus importantes pour les dossiers touchés avec 2,99 millions de personnes touchées au total. Il n'a été que légèrement battu en 2013, lorsque 3,08 millions de disques ont été touchés. Les chiffres de 2013 provenaient principalement de la violation de données du district du Maricopa County Community College mentionnée ci-dessus, dans laquelle 2,5 millions de dossiers ont été affectés.

Le grand nombre de records battus en 2020 n’était pas non plus dû à Blackbaud. Selon les chiffres indiquant le nombre de dossiers concernés, seuls 841 939 (28 pour cent) de notre total proviennent de violations Blackbaud.

Les violations survenues en 2020 au Metropolitan Community College de Kansas City (affectant 638 186 dossiers) et une à l’Université du Maryland (affectant 309 079) ont largement contribué au total.

Définitions des violations : carte (carte de débit/crédit non piratée, par exemple écrémage), piratage (partie externe ou logiciel malveillant), Insd (initié - employé, tiers ou client), Phys (documents papier), port (appareils portables, par exemple ordinateurs portables, clés USB et disques durs), Stat (ordinateur fixe), Disque (divulgation involontaire, par exemple informations sensibles publiées publiquement), Unkn (inconnu).

Le graphique ci-dessus nous montre également à quel point les violations de données internes sont devenues dominantes ces dernières années. Les violations internes incluent une violation d'employé, mais incluent également des violations de fournisseurs tiers, par ex. Blackbaud. Ainsi, même si le tiers est piraté, cela est considéré comme une violation interne pour l’établissement d’enseignement car elle provient d’une entité interne au sein de l’école (l’école elle-même n’est pas piratée).

La violation de 2019 sur Aeries a touché au moins 27 districts scolaires. Aeries fournit des systèmes d'information sur les étudiants et une personne non autorisée a accédé à un grand nombre de ceux-ci pendant plusieurs mois, exposant potentiellement les cartes d'identité des étudiants, les informations de connexion des parents et des étudiants, les adresses physiques, les e-mails et les hachages de mots de passe.

Outre la violation de Blackbaud en 2020, Timberline Billing Service, LLC a également été victime d'une violation et a touché un grand nombre de districts scolaires. Parmi eux, au moins 18 ont publié des notifications de violation de données qui ont touché plus de 21 000 enregistrements au total.

À quoi ressemble 2021 en matière de violations de données éducatives ?

En septembre 2021, 65 violations de données éducatives individuelles auraient affecté 554 779 dossiers. Plusieurs raisons pourraient expliquer la baisse drastique par rapport à 2020.

Premièrement, 2020 a été l’année de la violation de données Blackbaud, qui, comme nous l’avons vu, a touché au moins 209 établissements d’enseignement. Deuxièmement, il y a souvent des retards dans la déclaration des violations de données, ce qui signifie que les chiffres pourraient augmenter au cours des prochains mois et même en 2022 et au-delà.

De plus, notre carte de suivi des ransomwares, mise à jour quotidiennement, montre que le secteur de l'éducation est confronté à une vague continue d'attaques de ransomwares (il y a déjà eu 50 attaques signalées cette année après 81 l'année dernière). Alors que les attaquants continuent de se concentrer sur les organisations où ils peuvent provoquer des perturbations massives (par exemple Blackbaud) et demander une rançon aux données dans le cadre d’une attaque « double-dip », il est fort probable que davantage de violations soient signalées à la suite de ces attaques. Après tout, l’attaque Blackbaud a été un énorme succès pour les pirates informatiques qui ont reçu un paiement non divulgué pour soi-disant détruire les données volées.

Méthodologie

Pour enregistrer toutes les violations de données dans les établissements d'enseignement, notre équipe a effectué des recherches dans les ressources du secteur, les outils de notification des violations de données des États et les sources d'information. Grâce à ces données, nous avons pu dresser une liste complète de violations de données remontant à 2005.

Dans la mesure du possible, le manquement est attribué à l'année au cours de laquelle il s'est produit. Par exemple, une violation peut avoir eu lieu en 2020 mais n’avoir été divulguée qu’en 2021. Nous l’attribuerions donc aux chiffres de 2020, car c’est à cette date que la violation s’est produite.

Certains des dossiers inclus peuvent concerner des employés de l'établissement. Cela est dû au fait qu’il n’y a pas de répartition entre les étudiants et les salariés concernés.

Un grand nombre de violations liées à l’école ont touché l’ensemble d’un district scolaire plutôt qu’une seule école. Cependant, comme on ne sait souvent pas exactement combien d’écoles du district ont été touchées, la violation est considérée comme une seule.

Bien que les 50 États (et le District de Columbia) disposent désormais de lois sur la notification des violations de données, celles-ci n'étaient peut-être pas en place au cours de chaque année de notre étude. Il se peut donc que certaines violations n’aient pas été signalées avant 2018.

Les chiffres des étudiants sont recueillis à partir des dernières données disponibles du NCES : les chiffres des éléments primaires et secondaires publics datent de 2021, les chiffres des éléments primaires et secondaires privés datent de 2017 et les chiffres des établissements d'enseignement postsecondaire délivrant des diplômes datent de 2018.

Chercheurs de données :George Moody, Rebecca Moody