À l’heure où les données des élèves sont de plus en plus exposées, comment une start-up de l’EdTech s’est-elle emparée de l’enjeu cyber ? Dans cet entretien, Léo Briand, fondateur de Vittascience et vice-président de l’AFINEF, revient sur les cybermenaces rencontrées, son passage à l’action et l’impact concret de l’accompagnement gratuit proposé par le programme CYBIAH.
Fondée en 2018, Vittascience développe des outils numériques éducatifs utilisés par plus de 300 000 enseignants et élèves. Face à la multiplication des cyberattaques, Léo Briand a décidé d’engager sa structure dans une montée en compétence globale, avec l’aide de CYBIAH, le hub cybersécurité et IA dédié aux TPE, PME, acteurs de l’ESS et collectivités d’Île-de-France. Dans cet entretien sans filtre, il partage les déclics, les apprentissages et les résultats d’un accompagnement personnalisé.
Je m’appelle Léo Briand et je suis le fondateur et président de Vittascience, une start-up qui promeut les sciences et le numérique, notamment à l’école, en primaire, collège et lycée. Je suis également vice-président de l’AFINEF, une association qui regroupe 130 acteurs de l’éducation, des entreprises et des associations de toutes tailles, œuvrant dans l’éducation au numérique, ce qu’on appelle l’EdTech, pour éducation et technologie. Toutes ces entreprises font partie de cette association, l’AFINEF, qui cherche à promouvoir l’EdTech en France et à l’international.
Vittascience, c’est une start-up de 15 salariés qui existe depuis 7 ans, basée en région Île-de-France, avec des salariés en télétravail un peu partout en France. Notre enjeu est de permettre à plus de 300 000 élèves et enseignants utilisateurs de la plateforme d’apprendre plus facilement tout ce qui est codage, robotique, intelligence artificielle, donc toutes les compétences numériques qui sont maintenant enseignées à l’école. Tout le monde ne le sait pas, mais aujourd’hui, il y a des épreuves de codage au brevet et au bac, donc tous les élèves et enseignants sont concernés. D’où l’enjeu de notre structure de porter ces sujets au niveau de l’Éducation nationale.
Il y a quelques années, une structure dans l’éducation EdTech s’est fait pirater de nombreuses données personnelles. C’était une plateforme de gestion de projet, et cela m’a marqué. Il y a eu des articles dans la presse, un débat avec l’Éducation nationale et le soutien aux entreprises. C’est vraiment important de sécuriser ces données, d’autant plus que dans l’éducation, on traite souvent avec des données de personnes mineures, qui sont assez sensibles. L’importance de cet enjeu m’a mené à m’intéresser à la cybersécurité, et notamment au programme CYBIAH.
Dans cette attaque qui avait concerné une société EdTech il y a 4 ans, il y avait notamment les prénoms, noms, adresses mail et dates de naissance des élèves qui étaient disponibles directement sur Internet. Ces données sont très sensibles, car on peut faire de nombreuses choses malicieuses avec, notamment des cyberattaques ou des falsifications d’identité. C’était dangereux de laisser ces données disponibles sur Internet, et il y avait eu beaucoup d’articles dans la presse à l’époque. Cela m’avait beaucoup interpellé.
Avant de rejoindre CYBIAH, cela faisait déjà plusieurs années qu’on observait des attaques régulières, soit des attaques de type DDoS, visant à saturer nos serveurs en envoyant de nombreuses requêtes, soit des attaques plus pernicieuses. Une qui m’a marqué, c’est quelqu’un qui s’était fait passer pour moi en tant que dirigeant de l’entreprise, qui avait contacté un de mes salariés. Il avait réussi à falsifier ma signature en HTML dans le mail, disant : “Envoie-moi un message sur WhatsApp, c’est urgent, je ne peux pas t’appeler maintenant, je suis en réunion.” Le salarié s’était fait convaincre et avait contacté la personne sur WhatsApp. Là, la personne lui avait demandé de faire une opération sur le site web qui aurait mis en danger critique la structure. Heureusement, le salarié en question, au moment où il est passé sur WhatsApp et qu’il a vu la demande, a trouvé cela bizarre et ne l’a pas fait. Il m’en a parlé. Il aurait suffi que le hacker soit un peu plus malin pour que la personne le fasse sans sourciller.
Un autre exemple qui m’a marqué : j’ai reçu un mail des impôts, des finances publiques, me demandant de payer un impôt. Ils avaient recopié intégralement la page des finances publiques pour payer un impôt de type TVA. C’était impressionnant, et je me suis fait avoir quasiment jusqu’au bout, jusqu’au moment de mettre la carte bancaire. Là, je me suis dit : “C’est bizarre, l’État ne va pas demander de mettre la carte bancaire de la société pour payer un impôt, ils font par prélèvement.” J’ai repéré l’arnaque. Ces deux événements, en plus des attaques DDoS, montraient une ingénierie assez fine dans la façon d’attaquer. Je me suis rendu compte qu’il y avait besoin que toute l’équipe monte en compétence sur ce sujet.
Ayant conscience de ce besoin d’accompagnement en cybersécurité, le programme CYBIAH m’a apporté énormément de valeur. On a pu former l’ensemble de l’équipe sur le sujet de la cybersécurité. On a aussi bénéficié d’un audit personnalisé, pas juste des recommandations générales, mais vraiment quelque chose de très personnalisé. Par exemple, on a pu détecter qu’il y avait des pages web incohérentes ou qui permettaient des accès illogiques. On a repéré certains services critiques qui n’étaient pas suffisamment protégés. On a ajouté de l’authentification à deux facteurs, c’est-à-dire que le mot de passe ne suffit pas pour certains services, il faut en plus le téléphone pour débloquer l’accès. De manière générale, on a eu un audit très personnalisé sur les recommandations à adopter. On a pu désigner au sein de notre équipe Vittascience quelqu’un qui est référent sur les sujets de cybersécurité, qui a pu monter en compétence particulièrement là-dessus, en plus du reste de l’équipe. Tout cela a apporté beaucoup de valeur, et je me sens plus en confiance maintenant pour la sécurité au sein de Vittascience.
Grâce à l’accompagnement CYBIAH, ce qui a vraiment changé, c’est la mesure de la surface d’attaque, c’est-à-dire les points sur lesquels on était à risque. Il y avait certains points dont je n’avais pas conscience. Grâce au programme, on a pu identifier cela et protéger les zones trop à risque, et se rassurer sur les zones déjà bien protégées. On a également formé l’équipe, et on a mesuré qu’il y a eu une vraie adoption des réflexes de cybersécurité. Je me sens vraiment plus en confiance grâce à cela. Il y a un avant et un après CYBIAH. Grâce à cet accompagnement, on a pu monter en compétence et on se sent plus en sécurité au niveau de la cybersécurité dans Vittascience.
Ce qui est délicat avec la cybersécurité, c’est que tant qu’on n’a pas été attaqué, tant qu’on n’a pas subi les conséquences, on peine à s’y mettre, à investir, parce que ça coûte de l’argent, du temps.
C’est un sujet un peu complexe, qui fait peur. Et finalement, on se dit : est-ce que le jeu en vaut vraiment la chandelle ?
L’avantage de ce programme, CYBIAH, c’est qu’on a eu un accompagnement qui n’a pas pris énormément de temps à l’équipe, mais qui a apporté beaucoup de valeur, et de manière générale, qui nous a permis de rentrer dans le sujet et de nous ouvrir beaucoup d’autres ressources pour aller plus loin. C’était vraiment un premier pas qui nous a permis de nous rassurer.
Et moi, je conseille en tout cas à d’autres organismes — notamment ceux qui sont à risque parce qu’ils n’ont pas quelqu’un qui est dédié à ces sujets-là au sein de leur structure — de vraiment prendre le sujet à bras ouverts et d’y aller, entre autres grâce à ce programme ou un autre, mais en tout cas de vraiment se protéger sur les sujets cyber.
Le cofinancement de la Région Île-de-France et de l’Union européenne, c’est vrai que c’étaient des marques vraiment sécurisantes pour se lancer dans cet accompagnement-là. Parce qu’on se fait assez souvent démarcher par des structures diverses et variées, donc on se demande finalement qui est sérieux.
Des fois, il y a des approches qui sont assez brutales. C’est-à-dire que parfois, il y a des sociétés qui nous disent : « Là, vous avez une faille. Et soit vous prenez le service avec nous, soit on exploite la faille. » Enfin, c’est un peu une approche comme ça, parfois. Donc là, c’était quand même vachement rassurant, et ça nous a permis de rentrer en confiance dans ce sujet de la cybersécurité.
Au niveau de Vittascience, comme je disais tout à l’heure, on a pu nommer quelqu’un dans l’équipe, qui est référent cybersécurité. Et en fait, on se rend bien compte que ce n’est pas un sujet qu’on peut traiter en un coup, et qui va se régler pour toute la suite. C’est vraiment quelque chose qu’il faut faire de façon longue, sur la durée.
Et grâce à cette personne-là, et à tous les conseils qu’on a reçus, je pense qu’on a vraiment tous les éléments maintenant, toutes les armes pour se défendre en termes de cybersécurité sur le long terme.
Et donc, je recommande vraiment à tous les autres membres de l’AFINEF, dans l’éducation, de suivre ces conseils de cybersécurité et de monter en compétence sur le sujet. Je pense vraiment que le jeu en vaut la chandelle, et que le risque est trop grand vis-à-vis des données de mineurs dont on peut disposer sur les bases de données des services éducatifs, pour laisser ça de côté.
Et en fait, c’est aussi une marque de crédibilité, finalement, sur le long terme, d’avoir une cybersécurité qui soit efficace au sein de nos structures.
Cet accompagnement sur la cybersécurité permet aussi d’ouvrir de nouvelles opportunités, de se lancer dans des projets plus ambitieux, où on va traiter encore plus de données, en ayant la confiance sur le fait que nos bases de données et nos accès ne sont pas à risque.
Puisqu’en fait, on sait que plus on grossit le nombre d’utilisateurs, et plus on grossit la taille de l’équipe, plus on est exposé, finalement, au niveau de notre service. Et donc, ça permet de grossir en tant que structure, en étant en sécurité, et en se sentant en confiance pour avancer.
Au niveau de mon investissement dans le projet de cybersécurité, je dirais qu’il faut compter, en tant que dirigeant, un temps assez modéré — peut-être une heure par semaine pendant les quelques semaines au début de l’accompagnement — pour vraiment monter en compétence.
Et après, moi ce que je conseille, c’est vraiment de dédier quelqu’un dans l’équipe sur ces sujets-là, qui ne va pas forcément être à temps plein sur la cybersécurité, mais qui apprécie ce sujet-là, et qui va pouvoir vraiment monter en compétence.
Donc là, il faut prévoir plusieurs jours de formation — environ six jours, par exemple, pour une formation initiale — pour vraiment devenir compétent sur ce sujet-là. Et ensuite, quelques heures par semaine, et notamment être capable de faire des audits soi-même, pour évaluer la surface de risque, et petit à petit monter en compétence.
Mais ce n’est pas un sujet qui nécessite un investissement de quelqu’un à temps plein, ou, notamment de la part du dirigeant, plusieurs heures par semaine. C’est quelque chose d’assez modéré, si on est bien accompagné sur le sujet.
Vous êtes une TPE, PME, un acteur de l’ESS ou une collectivité ? CYBIAH vous accompagne gratuitement pour renforcer votre cybersécurité et mieux protéger votre organisation. Ne laissez pas les cybermenaces compromettre votre activité.
Publié le
Abonnez-vous à notre newsletter et recevez directement nos actualités dans votre boîte e-mail.
En partageant vos coordonnées, l’équipe de CYBIAH vous contactera pour vous accompagner dans votre projet de cybersécurité.
Désabonnement possible à tout moment.