5 min. de lecture

Renforcez la cybersécurité : 10 conseils pour l’enseignement supérieur

Numérique

Illustration article de blog sur la cybersécurité

Par Louise Wacogne 10 octobre 2024

Comment protéger les données personnelles des étudiants ?

Ce n’est pas nouveau, le numérique prend de plus en plus de place, y compris dans l’enseignement supérieur. Ce qui donne naissance à des enjeux en partie nouveau : par exemple, la protection des données personnelles est devenue une priorité absolue.

A l’occasion du Cybermois 2024, organisé par la CNIL, l’accent est mis sur la sensibilisation à ces risques numériques. Les établissements d’enseignement supérieur sont aussi responsables de l’intégrité des informations qu’ils collectent, et même si les risques liés aux cyberattaques ne cessent de croître. Il est donc essentiel de mettre en place des pratiques de cybersécurité adaptées pour prévenir toute tentative de piratage.

Protéger les données personnelles des étudiants, tout comme les infrastructures numériques de l’université, est un enjeu majeur. Les solutions existent. Dans cet article, nous vous proposons 10 conseils pratiques pour renforcer la sécurité numérique de votre établissement.

LES INDISPENSABLES

Quels sont les trois grands piliers de la cybersécurité ?

Tout d’abord, il est essentiel de comprendre que la cybersécurité repose sur trois grands principes. Ces fondations permettent de construire une politique de sécurité efficace, capable de s’adapter aux menaces.

La prévention

Avant toute chose, la prévention est un élément clé. Elle consiste à anticiper les risques grâce à une formation continue des équipes et des étudiants sur les bonnes pratiques, mais aussi en veillant à ce que les systèmes soient toujours à jour.

La détection

dès qu’une anomalie est détectée, il est impératif de réagir rapidement. Cela peut inclure la surveillance constante des systèmes pour identifier les comportements suspects ou toute tentative d’intrusion.

La réponse

Enfin, une fois la menace détectée, il est primordial de pouvoir y répondre de manière rapide et efficace, en activant un plan d’urgence pour limiter les dégâts.

Ces trois piliers sont les bases sur lesquelles repose toute bonne stratégie de cybersécurité.

QUELQUES RAPPELS

Les 5 grands objectifs visés en sécurité informatique

Dans le cadre de la protection des systèmes numériques d’un établissement d’enseignement supérieur, cinq grands objectifs sont généralement visés. Chacun d’eux contribue à renforcer la fiabilité des infrastructures et la sécurité des données. Quelques points basiques à garder à l’esprit :

1

La confidentialité

L’accès aux données doit être strictement réservé aux personnes autorisées, afin d’empêcher toute fuite d’informations sensibles.

2

L'intégrité des données

Elles doivent rester exactes et complètes. Il est essentiel d’empêcher toute modification non autorisée.

3

La disponibilité

Les services et les systèmes doivent toujours être accessibles à ceux qui en ont besoin, même en cas de tentative d’attaque.

4

La traçabilité

Chaque action effectuée sur les systèmes doit pouvoir être retracée pour identifier rapidement d’éventuelles anomalies.

5

L'authentification

Dans la même lignée, c’est indispensable de vérifier l’identité de chaque utilisateur pour s’assurer qu’il a les droits nécessaires pour accéder aux systèmes et ainsi éviter bon nombre de failles de sécurité. On parlera alors de principe de « Zero trust« , c’est-à-dire que chaque utilisateur (interne comme externe) doit être systématiquement identifié avant de leur accorder un accès aux systèmes de l’établissement.

Après ce bref rappel, passons maintenant aux conseils et bonnes pratiques à ne pas négliger !

10 bonnes pratiques de cybersécurité pour l'enseignement supérieur

1. Évaluer régulièrement les risques

Une évaluation régulière des risques est essentielle pour repérer les vulnérabilités dans les systèmes. Cela inclut les tests d’intrusion, les audits de sécurité et la surveillance continue des infrastructures. Ces analyses doivent être réalisées à la fois en interne et avec des prestataires tiers pour s’assurer que l’ensemble des systèmes répond aux exigences de sécurité.

2. Inventorier les actifs numériques

Un inventaire complet et à jour des actifs numériques, incluant les logiciels, les bases de données, les systèmes internes et externes, permet de mieux comprendre les points sensibles à protéger. Cela permet aussi d’anticiper les mises à jour et les mesures de protection nécessaires pour chaque élément du système.

3. Surveillance en temps réel

La surveillance continue est indispensable pour détecter les menaces en temps réel. Des outils comme des systèmes de détection d’intrusion (IDS) et des solutions de réponse automatique aident à réagir rapidement face aux cyberattaques avant qu’elles ne causent de dommages majeurs. Ces outils doivent être mis en place sur les réseaux internes ainsi que sur les plateformes d’évaluation en ligne.

4. Limiter les privilèges d’accès

Limiter les privilèges d’accès aux utilisateurs qui en ont réellement besoin réduit considérablement le risque d’intrusion interne. Chaque utilisateur doit avoir accès uniquement aux données et systèmes nécessaires pour accomplir ses tâches. Une gestion stricte des droits d’accès aide à prévenir les abus et les failles de sécurité.

5. Plan de gestion des incidents

Un plan de gestion des incidents de sécurité est indispensable pour réagir efficacement aux cyberattaques. Ce plan doit inclure des procédures pour rétablir l’intégrité des systèmes, communiquer avec les utilisateurs concernés, et minimiser l’impact sur l’établissement. Des exercices réguliers permettent de tester la réactivité de ce plan.

6. Conformité réglementaire

Les établissements d’enseignement supérieur doivent s’assurer de leur conformité avec les réglementations locales et internationales, telles que le RGPD et les recommandations de la CNIL pour la protection des données personnelles. La mise en conformité inclut la gestion des consentements, la traçabilité des actions, et le chiffrement des données sensibles.

7. Sécuriser les transferts de données

Les échanges d’informations doivent être protégés à l’aide de solutions de chiffrement pour éviter les fuites de données. Cela inclut les emails, les bases de données partagées et les transferts de fichiers entre utilisateurs internes et partenaires externes. Le chiffrement garantit que seules les personnes autorisées peuvent accéder aux données en transit.

8. Mettre à jour les systèmes régulièrement

Les cyberattaques exploitent souvent des failles de sécurité dans les systèmes obsolètes. Il est capital d’appliquer les mises à jour de sécurité dès qu’elles sont disponibles. Cela concerne aussi bien les systèmes d’exploitation que les logiciels tiers utilisés pour l’évaluation des étudiants et la gestion des infrastructures numériques.

9. Former les utilisateurs

Les erreurs humaines sont souvent à l’origine des cyberattaques. Il est donc essentiel de sensibiliser le personnel et les étudiants aux risques et aux bonnes pratiques de cybersécurité. Des formations régulières sur les risques liés aux emails malveillants (phishing), la gestion des mots de passe, et les comportements à adopter en ligne sont indispensables. L’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) propose d’ailleurs un kit d’exercice dédié au secteur de l’enseignement supérieur et de la recherche. Vous y trouverez plusieurs scénarios concernant des thématiques comme la continuité des cours, la protection de la confidentialité et de l’intégrité des données de recherche et bien plus encore !

10. Évaluer la sécurité des fournisseurs tiers

Les partenaires externes doivent être soumis à des évaluations de sécurité régulières pour garantir qu’ils respectent les normes de sécurité de l’établissement. Cela est particulièrement vrai pour les prestataires tiers qui utilisent les données personnelles des étudiants. C’est notamment le cas des solutions d’examens en ligne, qui doivent garantir la confidentialité des données et l’intégrité des évaluations. Chez Evaluo, c’est un sujet qui nous intéresse particulièrement et nous mettons tout en œuvre pour accompagner les établissements d’enseignement de supérieur dans leurs démarches sur ce sujet. Vous pouvez notamment consulter nos engagements sur la protection des données personnelles sur notre site.

En adoptant ces 10 bonnes pratiques de cybersécurité, vous renforcez non seulement la sécurité de vos systèmes et infrastructures, mais vous assurez également la confiance et la sérénité de vos étudiants et de votre personnel.

Une approche proactive et globale de la cybersécurité, combinée à des outils adaptés et à une sensibilisation continue, est essentielle pour protéger efficacement les données personnelles des étudiants.

Et si vous profitiez du Cybermoi/s pour approfondir vos connaissances sur le sujet ?

N’hésitez pas à consulter ces ressources :

1. Le site de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)
3. Pour en savoir plus sur les cyber risques
4. Sur les spécificités des examens en ligne

Inscrivez-vous pour recevoir les dernières actualités d’Evaluo

Chaque mois, recevez une revue de presse nationale et internationale pour rester à la pointe des tendances pédagogiques. Inscrivez vous pour une exploration des dernières innovations de l’EdTech et obtenez des conseils pour créer des expériences d’apprentissage captivantes.