«Comment sécuriser les données de notre réseau scolaire?»
Sécurité informatique à l'école
La sécurité informatique dans les écoles est importante. Peut-être encore plus que dans d’autres domaines, puisqu’il s’agit de protéger les données personnelles des enfants et des adolescents. De nombreuses écoles sont confrontées au défi de vouloir garantir l’accès à Internet tout en assurant un niveau de sécurité aussi élevé que possible. Découvrez ici à quoi les directions d’école doivent faire attention pour la sécurité du réseau. En collaboration avec des spécialistes, nous avons en outre élaboré un modèle de concept de sécurité TIC.
Aller directement au sujet
Partager la page
L’essentiel en bref
- Nous évaluons les avantages et les inconvénients d’un pare-feu local et d’un pare-feu basé sur le cloud.
- Où et comment les écoles peuvent-elles stocker des données sensibles sur les élèves?
- Pourquoi une sauvegarde informatique est-elle importante et quelles sont les possibilités offertes aux écoles?
- Que faire en cas de vol de données?
Vous trouverez les supports suivants sur cette page
Thème
Se protéger contre les attaques extérieures
avec des pare-feux
Les écoles sont une cible privilégiée des attaques de pirates externes ou des attaques de réseaux. Dans ce cadre, des données sont dérobées ou l’école est exclue de l’accès à ses propres données et est ainsi soumise à un chantage. Pour éviter cela, le pare-feu est un élément de sécurité central.
Les pare-feux existent sous forme matérielle ou logicielle. Les deux versions empêchent efficacement les attaques de l’extérieur, mais ont chacune des avantages et des inconvénients dans leur utilisation:
Pare-feu local
Un pare-feu local est installé sur un ordinateur ou un périphérique réseau spécifique, généralement placé au point de passage vers Internet. Le pare-feu surveille le trafic de données qui entre ou sort du réseau. Elle fonctionne comme un gardien de sécurité numérique qui contrôle le trafic de données et bloque automatiquement les activités suspectes.
Avantages
Inconvénients
Pare-feu basé sur le cloud
le trafic de données d’une école est acheminé par un pare-feu basé sur le cloud via une infrastructure cloud spécifique avant d’atteindre Internet. Ce pare-feu basé sur le cloud se charge de sécuriser le trafic de données.
Par rapport au pare-feu local, cette architecture ne nécessite pas de hardware à l’école, mais seulement une configuration appropriée du routeur: Le trafic de données est dirigé exclusivement vers le pare-feu dans le cloud et le trafic entrant n’est autorisé qu’à partir de celui-ci.
Avantages
Inconvénients
Les meilleures pratiques en matière de sécurité: pour une sécurité à plusieurs niveaux, il est recommandé d’utiliser des pare-feux matériels et logiciels dans la sécurité informatique des écoles. Si une école ne dispose pas d’un savoir-faire suffisant en matière de sécurité, elle peut faire appel à un fournisseur de sécurité professionnel. Et un pare-feu basé sur le cloud a tendance à être plus performant et à offrir plus de fonctions de sécurité qu’un pare-feu local.
Dans l’environnement scolaire en particulier, le défi consiste souvent à utiliser des ordinateurs de tiers (Bring-your-own-Device). Dans ce cas, un pare-feu basé sur le cloud est particulièrement recommandé.
«Internet à l’école» de Swisscom –
un pare-feu dans le cloud
L’initiative de Swisscom «Internet à l’école» met à disposition de toutes les écoles en Suisse une connexion Internet ainsi qu’une solution de sécurité.
Les différents raccordements scolaires sont protégés par une infrastructure de sécurité dans le système central de Swisscom et gérés par Swisscom. Les paramètres de sécurité sur les réseaux éducatifs des écoles primaires et cantonales peuvent être mis en place par les cantons individuellement et selon leurs besoins.
Thème
Les e-mails, une porte d’entrée pour les virus
et les logiciels malveillants
Les virus et les logiciels malveillants sont souvent envoyés par e-mail sous la forme de pièces jointes, de liens ou de scripts intégrés. Des mesures techniques ciblées sur le système permettent d’éviter de telles attaques.
Les logiciels malveillants sont souvent envoyés en tant que pièces jointes (par exemple sous forme de fichier exécutable, de document ou d’image) dans un e-mail. Si le/la destinataire ouvre cette pièce jointe, le logiciel malveillant peut s’installer sur l’ordinateur.
Mais les liens sont également une porte d’entrée fréquente pour les logiciels malveillants: un e-mail au contenu émotionnel attire les internautes sur un site web malveillant. Dans ce contexte, il convient également de mentionner le mot-clé hameçonnage.
Outre les pièces jointes et les liens, les scripts intégrés peuvent également transporter des virus et des logiciels malveillants qui s’exécutent à l’ouverture du courriel. Le danger est particulièrement grand au format HTML, qui est aujourd’hui la norme pour l’affichage des e-mails.
Pour protéger votre école de telles attaques par e-mail, il existe des mesures techniques que vous pouvez prendre:
Installer un logiciel anti-virus
Mettre à jour régulièrement
Prestations de votre fournisseur d’accès
Installer des pare-feux
Responsabiliser les usagers et agir de manière préventive
Mais même toutes les mesures techniques combinées ne peuvent pas offrir une protection à 100%. Il peut donc arriver à tout moment, malgré les mesures prises, que des e-mails malveillants atterrissent dans la boîte de réception. Il est alors important que la personne concernée sache comment se comporter. Vous apprendrez ici comment reconnaître les e-mails frauduleux.
Sensibiliser d’urgence tous les utilisateurs (le corps enseignant et les élèves) aux dangers potentiels d’e-mails malveillants afin d’éviter les virus et les logiciels malveillants sur les ordinateurs de l’école.
Voici quelques idées de formations ou de campagnes de sensibilisation:
- School-Security-Day: une journée consacrée à la sécurité informatique.
- La grande chasse à l’hameçonnage: faites-en un jeu. Celui qui trouve le plus d’e-mails d’hameçonnage gagne un cadeau intéressant.
- Préparez le thème de la sécurité en classe en fonction du niveau. Utilisez le matériel d’apprentissage, parfois très bon, sur ce thème. Que pensez-vous par exemple de l’application d’apprentissage avec quiz «Cybersecurity Quiz»(ouvre une nouvelle fenêtre)?
Thème
Sécurisation de l’accès
Les services, applications ou systèmes locaux de gestion des données basés sur le cloud permettent différents niveaux de sécurité pour l’authentification des utilisatrices et utilisateurs. Pour les données présentant une valeur de protection particulière, il convient d’accorder la priorité absolue à la sécurité.
En principe: malheureusement, plus l’accès protégé, moins il est facile à utiliser. Les processus de connexion avec plusieurs étapes d’authentification peuvent certes être compliqués, mais il ne faut pas faire de compromis pour les données personnelles des collaborateurs ou des élèves, les notes, les rapports d’apprentissage, etc. et toujours choisir le niveau de sécurité et de protection le plus élevé possible.
Comment sécuriser l’accès aux données, aux dossiers ou aux appareils:
Mots de passe
Clé biométrique
Authentification à deux facteurs (authentification à multi-facteurs, AMF)
Gérer les droits d’accès
Thème
Sauvegarder les données:
au niveau local ou dans le cloud?
Après avoir corrigé un examen, par exemple, vous souhaitez sauvegarder les notes de l’école sous forme numérique. Où ces données sensibles sont-elles le plus en sécurité? localement sur votre ordinateur, sur un serveur de données local ou dans le cloud?
Aujourd’hui, les ordinateurs portables ne sont plus guère adaptés pour stocker des données. D’une part, il n’y a souvent plus beaucoup d’espace disponible sur le disque dur et, d’autre part, les ordinateurs portables peuvent tomber par terre ou être volés. Pour la sauvegarde des données, les deux variantes suivantes prévalent dans les écoles et sont souvent combinées:
Serveur de données interne à l’école
Cloud
Le service educa
Le service educa des cantons et du Secrétariat d’État à la formation, à la recherche et à l’innovation (SEFRI) propose aux écoles un processus d’analyse facile à comprendre afin d’évaluer les aspects qui nécessitent une attention particulière dans l’école concernée.
Thème
Chaque système informatique doit avoir
une sauvegarde informatique
Aujourd’hui, de nombreuses écoles travaillent déjà avec des solutions basées sur le cloud. Cependant, bien que les données soient stockées en ligne, les écoles maintiennent souvent un stockage local supplémentaire. Un tel système s’avère particulièrement payant dans une fonction de sauvegarde informatique.
Gérer manuellement une mémoire de données locale en tant que stockage de données séparé et supplémentaire n’a pas beaucoup de sens. La charge de travail liée à la manipulation, mais aussi le risque de redondances inutiles ainsi que de variantes au contraire divergentes sont trop importants.
La meilleure solution: mettez en place une sauvegarde informatique qui copie automatiquement les données pertinentes à intervalles réguliers et les stocke dans un deuxième endroit indépendant. Il est important que cette sauvegarde informatique soit enregistrée et conservée à un autre endroit que les fichiers d’origine, afin qu’en cas de dommage, l’original ET la sauvegarde ne soient pas perdus. En outre, il est important que la sauvegarde soit également protégée contre les virus – l’infrastructure de sauvegarde doit donc être isolée du reste du réseau.
Thème
Protection des données à l’école
Depuis l’apparition des services et du stockage de données basés sur le cloud, la protection des données dans les écoles est devenue une question centrale. Il s’agit en effet d’assumer la responsabilité des données particulièrement sensibles et de les protéger au mieux.
Données sensibles? Il s’agit par exemple des rapports des élèves, des notes, des devoirs ou des salaires des enseignants.
Lorsque de telles données sont stockées dans des services de stockage en ligne tels que Apple iCloud, Microsoft SharePoint, Dropbox ou Google Cloud, il est nécessaire de respecter différentes directives. La Conférence des Préposé(e) suisses à la protection des données privatim a publié à ce sujet une notice qui décrit en détail les étapes nécessaires(ouvre une nouvelle fenêtre).
Le service spécialisé pour les TIC dans l’enseignement (educa, www.educa.ch(ouvre une nouvelle fenêtre)) a en outre rassemblé les ressources spécifiques aux cantons «Matériel d’information sur l’utilisation et la protection des données»(ouvre une nouvelle fenêtre).
Thème
Vol de données – que faire?
Si, malgré toutes les mesures de sécurité, une attaque «réussie» sur les données ou les systèmes de l’école se produit malgré tout, vous devez réagir le plus rapidement possible. Certaines mesures d’urgence sont entre-temps obligatoires, d’autres peuvent être adaptées en fonction de la situation.
Si, malgré toutes les mesures de sécurité, une attaque «réussie» sur les données ou les systèmes de l’école se produit malgré tout, vous devez réagir le plus rapidement possible. Certaines mesures d’urgence sont entre-temps obligatoires, d’autres peuvent être adaptées en fonction de la situation.
Voici ce qu’il faut faire immédiatement en cas de vol de données:
Identifiez les données concernées
Mettez en œuvre les mesures d’urgence
Cherchez de l’aide
Informez les personnes concernées
Élaborez un concept de crise TIC
Thème
Modèle: Concept de crise TIC
Les concepts de crise sont obligatoires dans les écoles suisses de nombreux cantons. Mais jusqu’à présent, il manque souvent un chapitre sur la crise TIC dans ces concepts de crise, ce qui peut avoir des conséquences désastreuses. Nous recommandons d’élaborer suffisamment tôt un concept de crise TIC et fournissons également un modèle type contrôlé par des spécialistes.
Un concept de crise TIC vous aide, vous et votre équipe, à acquérir une compréhension commune des domaines de l’architecture du réseau scolaire, à identifier les risques existants et à pouvoir vous appuyer sur un processus défini en cas de fuite de données ou de panne informatique.
Que votre concept de crise ICT soit intégré à votre concept de crise actuel ou qu’il soit rédigé en tant que document séparé, cela n’a aucune importance – tant qu’il existe sous une forme ou une autre. Comme le concept de crise, le concept de crise ICT devrait être vérifié et exercé à intervalles réguliers avec tous les services impliqués.
Modèle de concept de crise TIC
Au lien suivant, vous trouverez un modèle de concept de crise ICT. Selon l’architecture et l’organisation de votre école, certains aspects peuvent être omis et d’autres peuvent devoir être complétés.
Ce qui est important
- Les écoles sont une cible privilégiée des pirates informatiques. Un pare-feu local ou basé sur le cloud peut aider de manière décisive à prévenir de telles cyberattaques.
- Ne stockez jamais de données sensibles localement sur votre ordinateur portable, mais sur le serveur de données local de votre école ou dans un cloud.
- Configurez une sauvegarde informatique automatisée afin d’éviter la perte de données en cas de sinistre.
- Grâce à un concept de crise TIC, l’équipe d’intervention de crise de votre école sait ce qu’il faut faire en cas de vol de données.
Liens utiles
Contenus complémentaires
Nous avons rassemblé ici d'autres informations et contenus sur le thème de la sécurité informatique à l'école.
Autres thèmes intéressants
Demander à Michael
Michael In Albon est le responsable de la protection de la jeunesse dans les médias chez Swisscom. Il est à votre disposition pour toute question relative à l'informatique dans la salle des professeurs.
Michael In Albon
Délégué à la protection de la jeunesse dans les médias,
Responsable Internet à l’école (SAI)