Technologies

Publié le 03 janvier 2020 Mis à jour le 11 novembre 2020

Données des étudiants, qui en est responsable ?

L’institution, le fournisseur de services, l’étudiant, les responsables TI ?

Les conditions générales d'utilisation (CGU) sont rarement lues, la plupart du temps à posteriori, quand un problème est soulevé. Mais qui de vos étudiants a lues celles de votre institution ? Y a en t’il seulement sur le site de votre université, collège ou école ? En fait, celles que l’on trouve généralement ne constituent en rien une garantie de sécurité, tout au plus une promesse de respecter certains standards.

Une politique de sécurité de l'information, résumée, ressemble généralement à ceci :

L’institution met en place les mesures de protection, de détection, de prévention et de correction, et s'assure de l'engagement à l'égard de la politique des organismes avec lesquels des ententes contractuelles sont convenues.

Ces mesures permettent d'assurer la disponibilité, la confidentialité et l’intégrité de l’information ainsi que la continuité des services à rendre.

De même, elles couvrent la protection de l’information, la détection de tout usage abusif ou inapproprié de l’information et le traitement des menaces.

Si les efforts fournis par l’institution pour assurer sécurité et confidentialité sont normaux, les recours en cas de défaillance seront limités, même si les dommages à la réputation, à l’administration ou financiers peuvent être importants. On a déjà vu plusieurs institutions d'éducation devoir payer une rançon pour pouvoir de nouveau accéder à leur système !

Exposé à Internet, tout peut survenir : attaque, détournement, hameçonnage, vol, doxxing (rechercher et divulguer sur l'Internet des informations sur l'identité et la vie privée d'un individu dans le dessein de lui nuire), verrouillage, etc. À partir du moment où l’intérêt pour une cible est identifié, la circulation des données obtenues échappe alors au contrôle de l’institution et de l’individu.  Et on peut difficilement en tenir l’institution pour responsable.

Aussi, ultimement, autant l’institution que l’individu peuvent prendre des mesures de protection qui garantiront que leurs données ou celles dont ils ont la responsabilité resteront inaccessibles à qui n’y est pas autorisé.

Cryptage


Le cryptage demeure la protection de base; les clés de décryptage, différentes pour chaque utilisateur, humain ou machine, permettent le transfert sécuritaire des données entre les terminaux ou leur stockage et ainsi les garder à l'abri des interceptions. La clé permet de décoder les données mais son utilisation permet aussi d’identifier son utilisateur, le moment où il s’en est servi et sa position. La clé peut éventuellement être trouvée par un fraudeur, mais elle ne lui donnera accès qu’à une quantité de données limitée à son statut d’utilisateur, le plus souvent restreint aux données d’un seul individu.

Réseau Wi-Fi public


La plupart des institutions proposent l’accès à un réseau wi-fi public, n’offrant habituellement aucune garantie de sécurité. Une recommandation est alors d’offrir l’accès à un service de réseau virtuel privé (Virtual Private Network ou VPN) ou d’avoir son propre VPN.  Le VPN permet à la fois de changer son adresse IP ou de l’anonymiser et aussi de chiffrer les données qui sont communiquées. Un système tel Surfshark rend ce type de service. Test sur Surfshark

Filtrage en amont


Il peut-être intéressant de restreindre l’accès à certains sites pour diverses raisons : sites incompatibles avec la mission de l’institution, sites trop gourmands en bande passante, sites de fausses nouvelles reconnus, sites frauduleux, etc.  Une institution peut-être accusée de négligence de ne pas bloquer l’accès à, par exemple, des sites pornographiques, mais d’un autre coté être dénoncée comme portant atteinte à la liberté d’expression si elle bloque un site pamphlétaire ou violent.

Depuis toujours...

En cette ère de sensibilité exacerbée, quasi allergique, le délicat équilibre entre fonctionnalité, liberté et sécurité demande à être ajusté régulièrement et, pour peu que l’institution atteint un taille respectable, faire l’objet d’un poste dédié ou exiger de faire appel à un service spécialisé.

Du moment qu’Internet devient un service administratif stratégique, les aspects sécuritaires prennent de l’importance. Autrefois aucune personne non-autorisée n’avait accès aux fichiers de l’administration; ceci ne change pas, Internet ou non.

Références

Surfshark - https://surfshark.com/fr

Un avis et test sur Surfshark

Cyberattaque contre la CS des Appalaches
https://www.lesoleil.com/actualite/justice-et-faits-divers/cyberattaque-contre-la-cs-des-appalaches-cdc558bd06d5470dc511fafcae1fc023

La censure contamine les milieux universitaires
https://www.ledevoir.com/societe/education/495389/liberte-d-expression-sou-pression-la-liberte-d-expression-en-crise

En savoir plus sur cette technologie

Mots-clés: Hacking Sécurité Sécurité des données Cryptage VPN Cyberattaque

Voir plus de technologies de cette institution

Accédez à des services exclusifs gratuitement

Inscrivez-vous et recevez des infolettres sur :

  • Les cours
  • Les ressources d’apprentissage
  • Le dossier de la semaine
  • Les événements
  • Les technologies

De plus, indexez vos ressources préférées dans vos propres dossiers et retrouvez votre historique de consultation.

M’abonner à l'infolettre

Superprof : la plateforme pour trouver les meilleurs professeurs particuliers en France (mais aussi en Belgique et en Suisse)


Effectuez une demande d'extrait d'acte de naissance en ligne !


Ajouter à mes listes de lecture


Créer une liste de lecture

Recevez nos nouvelles par courriel

Chaque jour, restez informé sur l’apprentissage numérique sous toutes ses formes. Des idées et des ressources intéressantes. Profitez-en, c’est gratuit !