«Comment sécuriser les données de notre réseau scolaire?»
Sécurité informatique à l'école
La sécurité informatique dans les écoles est importante. Peut-être encore plus que dans d’autres domaines, puisqu’il s’agit de protéger les données personnelles des enfants et des adolescents. De nombreuses écoles sont confrontées au défi de vouloir garantir l’accès à Internet tout en assurant un niveau de sécurité aussi élevé que possible. Découvrez ici à quoi les directions d’école doivent faire attention pour la sécurité du réseau. En collaboration avec des spécialistes, nous avons en outre élaboré un modèle de concept de sécurité TIC.
Aller directement au sujet
Partager la page
L’essentiel en bref
- Nous évaluons les avantages et les inconvénients d’un pare-feu local et d’un pare-feu basé sur le cloud.
- Où et comment les écoles peuvent-elles stocker des données sensibles sur les élèves?
- Pourquoi une sauvegarde informatique est-elle importante et quelles sont les possibilités offertes aux écoles?
- Que faire en cas de vol de données?
Vous trouverez les supports suivants sur cette page
Thème
Se protéger contre les attaques extérieures
avec des pare-feux
Les écoles sont une cible privilégiée des attaques de pirates externes ou des attaques de réseaux. Dans ce cadre, des données sont dérobées ou l’école est exclue de l’accès à ses propres données et est ainsi soumise à un chantage. Pour éviter cela, le pare-feu est un élément de sécurité central.
Les pare-feux existent sous forme matérielle ou logicielle. Les deux versions empêchent efficacement les attaques de l’extérieur, mais ont chacune des avantages et des inconvénients dans leur utilisation:
Pare-feu local
Un pare-feu local est installé sur un ordinateur ou un périphérique réseau spécifique, généralement placé au point de passage vers Internet. Le pare-feu surveille le trafic de données qui entre ou sort du réseau. Elle fonctionne comme un gardien de sécurité numérique qui contrôle le trafic de données et bloque automatiquement les activités suspectes.
Avantages
- Lors de la configuration du pare-feu local, vous êtes très libre et pouvez tenir compte des besoins spécifiques de votre école.
- La plupart du temps, les pare-feux possèdent d’autres fonctions de sécurité que vous pouvez activer ou désactiver.
- Un pare-feu local peut être utilisé pour isoler différentes parties de votre réseau. Cela permet de mieux protéger les données sensibles et d’éviter qu’une attaque sur une partie du réseau ne se propage à d’autres parties.
Inconvénients
- L’évolutivité d’un pare-feu local est limitée. Si votre réseau s’étend et se complexifie avec le temps, le pare-feu peut éventuellement atteindre ses limites de performance.
- L’entretien (mises à jour, maintenance) incombe à l’école ou à son partenaire informatique. Cet effort ne doit pas être sous-estimé et nécessite les connaissances et les ressources nécessaires.
Pare-feu basé sur le cloud
le trafic de données d’une école est acheminé par un pare-feu basé sur le cloud via une infrastructure cloud spécifique avant d’atteindre Internet. Ce pare-feu basé sur le cloud se charge de sécuriser le trafic de données.
Par rapport au pare-feu local, cette architecture ne nécessite pas de hardware à l’école, mais seulement une configuration appropriée du routeur: Le trafic de données est dirigé exclusivement vers le pare-feu dans le cloud et le trafic entrant n’est autorisé qu’à partir de celui-ci.
Avantages
- Un pare-feu basé sur le cloud peut être utilisé simultanément pour plusieurs sites ou connexions Internet.
- Un pare-feu basé sur le cloud peut généralement être mis à l’échelle très facilement, car il existe souvent sous forme de service partagé. Elle peut ainsi facilement faire face à une complexité croissante.
- La maintenance est assurée par le fournisseur. La fréquence des mises à jour peut ainsi être nettement plus élevée avec des processus automatisés. Un pare-feu basé sur le cloud est ainsi plus vite immunisé contre les nouvelles menaces.
Inconvénients
- Autonomie limitée: selon le service, un pare-feu basé sur le cloud ne peut couvrir que partiellement les besoins spécifiques d’une école.
- Dépendance vis-à-vis du fournisseur: pour pouvoir procéder à des adaptations dans le jeu de règles ou d’autres paramètres, vous êtes généralement tributaire du fournisseur et ne pouvez pas effectuer ces modifications vous-même. Cela peut prolonger le temps de réaction.
Les meilleures pratiques en matière de sécurité: pour une sécurité à plusieurs niveaux, il est recommandé d’utiliser des pare-feux matériels et logiciels dans la sécurité informatique des écoles. Si une école ne dispose pas d’un savoir-faire suffisant en matière de sécurité, elle peut faire appel à un fournisseur de sécurité professionnel. Et un pare-feu basé sur le cloud a tendance à être plus performant et à offrir plus de fonctions de sécurité qu’un pare-feu local.
Dans l’environnement scolaire en particulier, le défi consiste souvent à utiliser des ordinateurs de tiers (Bring-your-own-Device). Dans ce cas, un pare-feu basé sur le cloud est particulièrement recommandé.
«Internet à l’école» de Swisscom –
un pare-feu dans le cloud
L’initiative de Swisscom «Internet à l’école» met à disposition de toutes les écoles en Suisse une connexion Internet ainsi qu’une solution de sécurité.
Les différents raccordements scolaires sont protégés par une infrastructure de sécurité dans le système central de Swisscom et gérés par Swisscom. Les paramètres de sécurité sur les réseaux éducatifs des écoles primaires et cantonales peuvent être mis en place par les cantons individuellement et selon leurs besoins.
Thème
Les e-mails, une porte d’entrée pour les virus
et les logiciels malveillants
Les virus et les logiciels malveillants sont souvent envoyés par e-mail sous la forme de pièces jointes, de liens ou de scripts intégrés. Des mesures techniques ciblées sur le système permettent d’éviter de telles attaques.
Les logiciels malveillants sont souvent envoyés en tant que pièces jointes (par exemple sous forme de fichier exécutable, de document ou d’image) dans un e-mail. Si le/la destinataire ouvre cette pièce jointe, le logiciel malveillant peut s’installer sur l’ordinateur.
Mais les liens sont également une porte d’entrée fréquente pour les logiciels malveillants: un e-mail au contenu émotionnel attire les internautes sur un site web malveillant. Dans ce contexte, il convient également de mentionner le mot-clé hameçonnage.
Outre les pièces jointes et les liens, les scripts intégrés peuvent également transporter des virus et des logiciels malveillants qui s’exécutent à l’ouverture du courriel. Le danger est particulièrement grand au format HTML, qui est aujourd’hui la norme pour l’affichage des e-mails.
Pour protéger votre école de telles attaques par e-mail, il existe des mesures techniques que vous pouvez prendre:
Installer un logiciel anti-virus
Installez un logiciel anti-virus fiable sur les ordinateurs de l’école. Selon la qualité du logiciel, il permet de bloquer de nombreux e-mails malveillants.
Mettre à jour régulièrement
Maintenez impérativement le système d’exploitation des ordinateurs de l’école à jour afin de combler les lacunes de sécurité le plus tôt possible et de manière fiable. Tous les autres composants du réseau doivent également être tenus à jour à tout moment (p. ex. pare-feu local, points d’accès, serveur local).
Prestations de votre fournisseur d’accès
Certains fournisseurs de messagerie électronique mettent à disposition une protection contre les virus et les logiciels malveillants. Informez-vous sur l’offre de votre fournisseur et profitez de services de protection.
Installer des pare-feux
Les pare-feux (matériels ou logiciels) mentionnés plus haut sont une option populaire pour bloquer non seulement le trafic Internet suspect, mais aussi le trafic de messagerie suspect.
Responsabiliser les usagers et agir de manière préventive
Mais même toutes les mesures techniques combinées ne peuvent pas offrir une protection à 100%. Il peut donc arriver à tout moment, malgré les mesures prises, que des e-mails malveillants atterrissent dans la boîte de réception. Il est alors important que la personne concernée sache comment se comporter. Vous apprendrez ici comment reconnaître les e-mails frauduleux.
Sensibiliser d’urgence tous les utilisateurs (le corps enseignant et les élèves) aux dangers potentiels d’e-mails malveillants afin d’éviter les virus et les logiciels malveillants sur les ordinateurs de l’école.
Voici quelques idées de formations ou de campagnes de sensibilisation:
- School-Security-Day: une journée consacrée à la sécurité informatique.
- La grande chasse à l’hameçonnage: faites-en un jeu. Celui qui trouve le plus d’e-mails d’hameçonnage gagne un cadeau intéressant.
- Préparez le thème de la sécurité en classe en fonction du niveau. Utilisez le matériel d’apprentissage, parfois très bon, sur ce thème. Que pensez-vous par exemple de l’application d’apprentissage avec quiz «Cybersecurity Quiz»(ouvre une nouvelle fenêtre)?
Thème
Sécurisation de l’accès
Les services, applications ou systèmes locaux de gestion des données basés sur le cloud permettent différents niveaux de sécurité pour l’authentification des utilisatrices et utilisateurs. Pour les données présentant une valeur de protection particulière, il convient d’accorder la priorité absolue à la sécurité.
En principe: malheureusement, plus l’accès protégé, moins il est facile à utiliser. Les processus de connexion avec plusieurs étapes d’authentification peuvent certes être compliqués, mais il ne faut pas faire de compromis pour les données personnelles des collaborateurs ou des élèves, les notes, les rapports d’apprentissage, etc. et toujours choisir le niveau de sécurité et de protection le plus élevé possible.
Comment sécuriser l’accès aux données, aux dossiers ou aux appareils:
Mots de passe
Pour protéger l’accès aux données, aux dossiers ou aux appareils, vous pouvez presque toujours définir des mots de passe. Veillez à ce qu’ils soient suffisamment complexes et longs pour fournir un niveau de sécurité élevé. Conservez les mots de passe de manière sécurisée (p. ex. dans un gestionnaire de mots de passe de l’école), car les mots de passe ne sont malheureusement pas à l’abri du vol comparés à une clé biométrique (voir hameçonnage).
De plus en plus souvent, les données de connexion ne sont plus définies par des mots de passe, mais par des codes ou des liens de connexion temporaires envoyés par e-mail ou SMS.
Clé biométrique
Il est souvent possible de choisir la méthode d’authentification d’une connexion. Pour les appareils mobiles tels que les smartphones, les tablettes ou les ordinateurs portables, l’empreinte digitale ou la reconnaissance faciale se sont imposées. Comparées aux mots de passe, les clés biométriques résistent à l’hameçonnage et sont donc en principe plus sûres.
Authentification à deux facteurs (authentification à multi-facteurs, AMF)
Comme son nom l’indique, l’AMF combine deux facteurs:
- Le nom d’utilisateur et le mot de passe sont saisis dans le masque de connexion.
- Le processus de connexion est confirmé sur un deuxième appareil (souvent le smartphone). Souvent, cela se fait dans une application du même fournisseur ou au moyen d’un code envoyé par e-mail ou SMS.
Il est encore plus sûr de remplacer le code de la deuxième étape par une clé biométrique (ce que l’on appelle l’inhérence).
Gérer les droits d’accès
Pour sécuriser l’accès aux données, aux archives ou aux appareils de votre école, nous recommandons ce qui suit:
- Emplacements de stockage: déterminez quels fichiers, emplacements ou appareils peuvent être utilisés par qui.
- Règles de sécurité: déterminez de manière centralisée quelles données ou quels appareils peuvent être accessibles et avec quelles règles de sécurité.
- Types d’authentification: décidez de la légitimité des mots de passe, de la reconnaissance faciale ou des empreintes digitales.
- Ressources techniques: utilisez des fonctions telles que le renouvellement régulier du mot de passe, l’AMF et d’autres fonctions de sécurité des services que vous utilisez dans votre école.
- Vérification humaine: veillez à ce que les droits d’accès soient régulièrement vérifiés (par des personnes) pour les anciens élèves ou le corps enseignant disposant de droits d’accès externes, etc.
Thème
Sauvegarder les données:
au niveau local ou dans le cloud?
Après avoir corrigé un examen, par exemple, vous souhaitez sauvegarder les notes de l’école sous forme numérique. Où ces données sensibles sont-elles le plus en sécurité? localement sur votre ordinateur, sur un serveur de données local ou dans le cloud?
Aujourd’hui, les ordinateurs portables ne sont plus guère adaptés pour stocker des données. D’une part, il n’y a souvent plus beaucoup d’espace disponible sur le disque dur et, d’autre part, les ordinateurs portables peuvent tomber par terre ou être volés. Pour la sauvegarde des données, les deux variantes suivantes prévalent dans les écoles et sont souvent combinées:
Serveur de données interne à l’école
Une possibilité est de stocker les données sur un serveur de données interne à l’école qui n’est pas directement connecté à Internet. Souvent, celui-ci se trouve dans l’infrastructure de l’école et ne peut donc être consulté qu’à l’intérieur du réseau scolaire.
Néanmoins: comme Internet, les appareils de l’école et le serveur de données sont reliés entre eux à la fin, une attaque de l’extérieur ne peut pas être exclue. Un virus qui parvient à l’école par e-mail ou via une clé USB, par exemple, peut donc tout de même atteindre cette infrastructure et causer des dommages, en identifiant par exemple des points d’entrée et en les transmettant aux pirates.
Cloud
Ces lieux de stockage numériques sont mis à disposition par des services professionnels tels que Swisscom, Microsoft, Google ou Amazon. Ils ont tous la responsabilité de protéger particulièrement bien les données qui leur sont confiées et investissent beaucoup dans cette sécurité.
Si les données sont dans le cloud, elles peuvent aussi être stockées physiquement à l’étranger, selon l’entreprise et l’emplacement des serveurs. Les données ont donc quitté l’espace juridique suisse et des pays tiers peuvent prétendre y avoir accès en vertu de leur législation.
La Conférence des Préposé(e) suisses à la protection des données privatim a toutefois réussi à obtenir que Microsoft, avec sa solution bureautique très appréciée Microsoft 365, ait son for en Suisse. Les citoyens suisses et l’administration pourront ainsi porter plainte contre Microsoft en cas d’accès injustifié à de telles données en Suisse.
Le service educa
Le service educa des cantons et du Secrétariat d’État à la formation, à la recherche et à l’innovation (SEFRI) propose aux écoles un processus d’analyse facile à comprendre afin d’évaluer les aspects qui nécessitent une attention particulière dans l’école concernée.
Thème
Chaque système informatique doit avoir
une sauvegarde informatique
Aujourd’hui, de nombreuses écoles travaillent déjà avec des solutions basées sur le cloud. Cependant, bien que les données soient stockées en ligne, les écoles maintiennent souvent un stockage local supplémentaire. Un tel système s’avère particulièrement payant dans une fonction de sauvegarde informatique.
Gérer manuellement une mémoire de données locale en tant que stockage de données séparé et supplémentaire n’a pas beaucoup de sens. La charge de travail liée à la manipulation, mais aussi le risque de redondances inutiles ainsi que de variantes au contraire divergentes sont trop importants.
La meilleure solution: mettez en place une sauvegarde informatique qui copie automatiquement les données pertinentes à intervalles réguliers et les stocke dans un deuxième endroit indépendant. Il est important que cette sauvegarde informatique soit enregistrée et conservée à un autre endroit que les fichiers d’origine, afin qu’en cas de dommage, l’original ET la sauvegarde ne soient pas perdus. En outre, il est important que la sauvegarde soit également protégée contre les virus – l’infrastructure de sauvegarde doit donc être isolée du reste du réseau.
Thème
Protection des données à l’école
Depuis l’apparition des services et du stockage de données basés sur le cloud, la protection des données dans les écoles est devenue une question centrale. Il s’agit en effet d’assumer la responsabilité des données particulièrement sensibles et de les protéger au mieux.
Données sensibles? Il s’agit par exemple des rapports des élèves, des notes, des devoirs ou des salaires des enseignants.
Lorsque de telles données sont stockées dans des services de stockage en ligne tels que Apple iCloud, Microsoft SharePoint, Dropbox ou Google Cloud, il est nécessaire de respecter différentes directives. La Conférence des Préposé(e) suisses à la protection des données privatim a publié à ce sujet une notice qui décrit en détail les étapes nécessaires(ouvre une nouvelle fenêtre).
Le service spécialisé pour les TIC dans l’enseignement (educa, www.educa.ch(ouvre une nouvelle fenêtre)) a en outre rassemblé les ressources spécifiques aux cantons «Matériel d’information sur l’utilisation et la protection des données»(ouvre une nouvelle fenêtre).
Thème
Vol de données – que faire?
Si, malgré toutes les mesures de sécurité, une attaque «réussie» sur les données ou les systèmes de l’école se produit malgré tout, vous devez réagir le plus rapidement possible. Certaines mesures d’urgence sont entre-temps obligatoires, d’autres peuvent être adaptées en fonction de la situation.
Si, malgré toutes les mesures de sécurité, une attaque «réussie» sur les données ou les systèmes de l’école se produit malgré tout, vous devez réagir le plus rapidement possible. Certaines mesures d’urgence sont entre-temps obligatoires, d’autres peuvent être adaptées en fonction de la situation.
Voici ce qu’il faut faire immédiatement en cas de vol de données:
Identifiez les données concernées
Clarifiez le plus rapidement possible quelles données sont concernées par l’incident. Les mesures doivent être adaptées en fonction de la sensibilité.
Mettez en œuvre les mesures d’urgence
Si seules certaines parties des données sont concernées, sécurisez en plus l’accès aux autres données en ce qui concerne le danger survenu. Par exemple, déconnectez d’autres serveurs du réseau, bloquez les connexions des terminaux concernés ou changez les mots de passe, etc.
Cherchez de l’aide
Selon la forme de l’attaque, vous ne serez pas en mesure de l’arrêter sans aide extérieure. Informez votre fournisseur de sécurité et le point de contact de la direction de l’éducation de votre canton. Il vous soutiendra dans toutes vos démarches et mesures ultérieures.
Informez les personnes concernées
Informez les personnes concernées par le vol de données aussi rapidement et clairement que possible. Rapidement, afin que ces personnes puissent immédiatement mettre à jour leurs mots de passe ou prendre d’autres mesures de sécurité. Clairement, afin de pouvoir délimiter le plus précisément possible l’étendue du vol de données. Veillez également à ce que votre message ne puisse pas être mal interprété comme un spam ou une attaque d’hameçonnage.
Élaborez un concept de crise TIC
dans les écoles suisses, les concepts de crise sont obligatoires dans de nombreux cantons. Une équipe d’intervention de crise (EIC) suit une formation spéciale afin d’être prête à faire face aux menaces et aux catastrophes.
Les concepts de crise traditionnels couvrent souvent des cas tels que les incendies, les inondations, les prises d’otages, les accidents, etc. Un chapitre sur les crises liées aux TIC fait malheureusement souvent défaut. Pour savoir quels aspects sont pertinents pour un concept de crise TIC, consultez le modèle de concept TIC.
Thème
Modèle: Concept de crise TIC
Les concepts de crise sont obligatoires dans les écoles suisses de nombreux cantons. Mais jusqu’à présent, il manque souvent un chapitre sur la crise TIC dans ces concepts de crise, ce qui peut avoir des conséquences désastreuses. Nous recommandons d’élaborer suffisamment tôt un concept de crise TIC et fournissons également un modèle type contrôlé par des spécialistes.
Un concept de crise TIC vous aide, vous et votre équipe, à acquérir une compréhension commune des domaines de l’architecture du réseau scolaire, à identifier les risques existants et à pouvoir vous appuyer sur un processus défini en cas de fuite de données ou de panne informatique.
Que votre concept de crise ICT soit intégré à votre concept de crise actuel ou qu’il soit rédigé en tant que document séparé, cela n’a aucune importance – tant qu’il existe sous une forme ou une autre. Comme le concept de crise, le concept de crise ICT devrait être vérifié et exercé à intervalles réguliers avec tous les services impliqués.
Modèle de concept de crise TIC
Au lien suivant, vous trouverez un modèle de concept de crise ICT. Selon l’architecture et l’organisation de votre école, certains aspects peuvent être omis et d’autres peuvent devoir être complétés.
Ce qui est important
- Les écoles sont une cible privilégiée des pirates informatiques. Un pare-feu local ou basé sur le cloud peut aider de manière décisive à prévenir de telles cyberattaques.
- Ne stockez jamais de données sensibles localement sur votre ordinateur portable, mais sur le serveur de données local de votre école ou dans un cloud.
- Configurez une sauvegarde informatique automatisée afin d’éviter la perte de données en cas de sinistre.
- Grâce à un concept de crise TIC, l’équipe d’intervention de crise de votre école sait ce qu’il faut faire en cas de vol de données.
Liens utiles
Contenus complémentaires
Nous avons rassemblé ici d'autres informations et contenus sur le thème de la sécurité informatique à l'école.
Autres thèmes intéressants
Demander à Michael
Michael In Albon est le responsable de la protection de la jeunesse dans les médias chez Swisscom. Il est à votre disposition pour toute question relative à l'informatique dans la salle des professeurs.
Michael In Albon
Délégué à la protection de la jeunesse dans les médias,
Responsable Internet à l’école (SAI)