comment assurer la confiance numérique à l’education...

Comment assurer la confiance numérique à

l’Education Nationale ?

LE NUMERIQUE DANS LE PREMIER ET LE SECOND DEGRE : SECURITE ET RESPONSABILITE

Jacky GALICHER - DSI - RSSI de l'académie de Versailles

L’académie de Versailles en chiffres

L’académie de Versailles

1ère académie de France par ses effectifs (10% des effectifs nationaux)

•5 511 km2

•4 départements

•Yvelines, Essonne, Hauts de Seine, Val d'Oise

•3 359 écoles (pu/Pr)

•845 établissements du 2nd degré (pu/Pr)

•120 circonscriptions

• 39 CIO

• 9 GRETA

•1 000 000 élèves

•87 360 personnels

•110 000 ordinateurs dans les établissements scolaires du 2nd

degré

•12 450 ordinateurs dans les services académiques

•2 441 serveurs (1er

et 2nd degré)

•3 000 postes téléphoniques

La diffusion massive de tablettes numériques est le résultat de :

• L’appui aux investissements numériques des collectivités locales. Ainsi, entre 2015 et 2017, les appels à projet « Collèges numériques et innovation pédagogique » ont été lancés, conduisant à l’équipement en tablettes de plus de 3 000 collèges et 2700 écoles associées.

• L’appel à projets « Ecoles numériques innovantes et ruralités » (ENIR) doit concerner 800 écoles.

• L’appel à projet BYOD/AVEC (« Apportez Votre Equipement personnel de Communication » sera lancé en mars prochain


Jacky GALICHER DSI/RSSI de l'académie de Versailles

Dans un contexte de diffusion massive de tablettes

numériques à destinations des élèves, comment assurer la

confiance numérique à l’Education Nationale ?

Comment assurer la protection des mineurs notamment dans le cadre de la lutte contre la pédopornographie, contre le harcèlement, contre la provocation aux suicides et contre la radicalisation violente… ?





Le cyber harcèlement n’épargne pas les enseignants

Mails injurieux, défoulement sur les réseaux sociaux... 5 % des 5 000 dossiers de « protection juridique » ouverts par des enseignants relèvent de « préjudices informatiques ».LE MONDE | 18.11.2016

Copyright © Capgemini 2015. All Rights Reserved

.

Copyright © Capgemini 2015. All Rights Reserved

Premier retour d’expérience

Confiance accrue des parents à laisser l’usage de la tablette à leur enfant au regard du dispositif de sécurité mis en œuvre (résultat exprimé lors d’un sondage)

LE NUMERIQUE DANS LE PREMIER ET LE SECOND DEGRE :SECURITE ET RESPONSABILITE


La responsabilité juridique

LE NUMERIQUE DANS LE PREMIER ET LE SECOND DEGRE : SECURITE ET RESPONSABILITEJacky GALICHER - DSI - RSSI de l'académie de Versailles

La multiplicité des acteurs : établissement, constructeurs, fournisseurs de services, opérateurs, collectivités, services académiques et prestataires, nécessite une clarification des responsabilités et un cadre de règles relatives à la sécurité, partagé par tous les partenaires.

La loi n° 2013-595 du 8 juillet 2013 de refondation de l’École


Elle précise que la région (article 23) et le département (article 21) sont chargés de la maintenance "des matériels

et de leurs logiciels de mise en œuvre", c'est-à-dire des infrastructures et des équipements (câblage des bâtiments avec leurs éléments actifs, serveurs, postes de travail fixes

et mobiles, et périphériques) ainsi que des applications informatiques (les logiciels systèmes et ceux qui sont

nécessaires à l'enseignement comme les espaces numériques de travail, les logiciels de gestion des réseaux

locaux et les passerelles locales vers internet).


Elle ne remet pas en cause la responsabilité de l’État dans les aspects relatifs à la sécurité. L’État reste le prescripteur du cadre de sécurité. C'est à lui, au travers des représentants académiques sur le domaine (DSI, RSSI, DPD), d'animer le réseau des acteurs intervenant sur la sécurité des systèmes d'information et sur l'évolution et le suivi de la mise en œuvre de ce cadre de sécurité en établissement scolaire, notamment avec les collectivités territoriales.

La loi n° 2013-595 du 8 juillet 2013 de

refondation de l’École


La loi n° 2018-493 du 20 juin 2018, promulguée le 21 juin 2018, a modifié la loi Informatique et Libertés afin de mettre en conformité le droit national avec le cadre juridique européen

https://www.legifrance.gouv.fr/eli/loi/2018/6/20/JUSC1732261L/jo/texte

https://www.cnil.fr/fr/reglement-europeen-protection-donnees

http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016L0680&from=FR


COMMUNIQUÉ DE PRESSELE 8 SEPTEMBRE 2016

QWANT Junior : moteur de recherche à destinationdes jeunes

Convention de partenariat entre la société QWANT et l’académie de VersaillesQWANT Junior (https://qwantjunior.com) est le premier moteur de recherche spécialementconçu pour les enfants visant à renforcer leur protection contre les contenus inappropriéslors de leurs recherches sur le Web.La convention signée le 22/07/2016 entre l’académie de Versailles et la société QWANTpermet à l’ensemble des écoles de l’académie de bénéficier de ce moteur derecherche innovant soucieux de la protection des enfants et du respect de la vie privée.La convention, d’une durée d’un an, est renouvelable,Cette solution de filtrage complètera le dispositif de la DSI académique pour sécuriser lesaccès internet.


La protection des mineurs et la

sécurité des systèmes

d’information auprès des

établissements du second degré

et des écoles a toujours été la

priorité de l’académie de

Versailles. Cette compétence dans

le domaine est reconnue


Lauréat 2013 des trophées 01 Business de la sécurité

Prix de l’Innovation : L’académie de Versailles

surveille les tablettes des collégiens

A la rentrée 2011, quatre collèges des Yvelines et du Val-d’Oise ont distribué des tablettes numériques à leurs élèves de sixième. Dans le cadre de cette expérimentation, l’académie de Versailles a réalisé un outil de blocage de sites au contenu inapproprié (pornographique, violent, raciste...).« La solution filtre les accès Wi-Fi et 3G », explique Harold Mulciba, RSSI adjoint. Elle sert aussi d’outil d’authentification et conserve les traces de navigation. Une innovation applaudie par Orange, partenaire du projet, qui travaille à son industrialisation


la Direction du numérique pour l'éducation [DNE] confie à l’académie de Versailles le pilotage d’un groupe de travail sur "l’encadrement juridique de l’équipement en tablettes", avec le cabinet d’avocats spécialisés sur le numérique, Alain Bensoussan avec la collaboration du Conseil départemental des Yvelines et des Hauts-de-Seine.


Comment assurer la confiance numérique à l’Education

Nationale …

dans un contexte de posture VIGIPIRATE renforcée et

risque de cyber attaque ?


Renforcer les protections contre les DDoS « déni de service distribué ». Cette mission est assurée par le Réseau national de télécommunications pour la technologie, l'enseignement et la recherche (RENATER)

la protection des systèmes d’information des établissements et des écoles

la protection technique des systèmes d’information des établissements : filtrage des tablettes en dehors des établissements, protection des mineurs (expérimentation en cours avec OLFEO pour améliorer le filtrage sur les serveurs Amon, expérimentation au collège Daguerre)

LE NUMERIQUE : SECURITE ET RESPONSABILITE » Jacky GALICHER DSI de l'académie de Versailles

la protection des données est assurée grâce à la mise en place

d'exigences de Sécurité des Systèmes d’Information dans un cahier des charges académique à destinations des fournisseurs


Transparences sur les incidents de sécurité

L’académie s’engage à informer les utilisateurs en cas d’incidents majeurs

ou de fuite de données.


la sensibilisation des utilisateurs aux risques et

dangers du numérique


L’académie de Versailles

• a publié une note de cyber sécuritéhttps://ariane.ac-versailles.fr/pia/upload/docs/application/pdf/2017-06/note_aux_personnels_de_lacademie_v5_2017-06-28_10-39-12_134.pdf

• adresse des messages de sensibilisation• organise annuellement des séminaires sur ce thème

https://ariane.ac-versailles.fr/pia/upload/docs/application/pdf/2017-06/note_aux_personnels_de_lacademie_v5_2017-06-28_10-39-12_134.pdf

Gestion des incidents de sécurité du système d’information (SSI)

• Une chaîne d’alerte a été mise en place au niveau académique pour tout incident de sécurité des systèmes d’information (SSI).

• Tout incident de sécurité constaté par la collectivité territoriale ou l’académie sera signalé dans les meilleurs délais à

[email protected]• L’académie prendra les décisions qui s’imposent.



Renforcer la protection contre les codes malveillants et le rançongiciel

• protection contre les codes malveillants, appelés communément antivirus, ...

• Protection contre le rançongiciel (ransomware) est un programme malveillant reçu par courriel ou mis à disposition sur un site Internet, qui provoque le chiffrement de tous les fichiers d’un ordinateur (et des fichiers accessibles en écriture sur les dossiers partagés si votre ordinateur est connecté à un réseau informatique).


• Centralisation des sites des établissements scolaires et des écoles afin d’éviter les failles de sécurité et renforce notre capacité d’intervention rapide en cas d’incident affectant l’un de ceux-ci.

• Mise en œuvre des bonnes pratiques de développement afin de répondre aux exigences de lutte contre les failles de sécurité applicatives

• Mise en place d’une chaîne d’alerte SSI

• Directeur de projet « confiance numérique et sécurité » en charge de décliner la Politique de sécurité des systèmes d'information de l’Etat (PSSIE)

• R.S.S.I. et R.S.S.I (adjoint)

• CIL

• Responsabiliser le personnel par des actions de formation à la sécurité et de sensibilisation.


Le CIL est devenu DPO (Data Privacy Officer) :

• gardien des données personnelles qui s'assure des bonnes pratiques

• permettre aux usagers de prendre connaissance des traitements de ses données qui le concernent

• L'hébergeur doit mettre en place des pratiques actualisées en terme de règles et d'outils de sécurité

• informer la CNIL de tout incident grave de fuite de données

• intégrer les règles de sécurité dans le processus de développement de tout nouveau service


Protéger les systèmesProtéger logiquement ses systèmes d'information

LE CONTRÔLE DES ACCÈS À PRIVILÈGES :LE RÔLE CLÉ DE LA CYBERSÉCURITÉ


L’académie de Versailles a adopté la solution Wallix AdminBastion Suite est certifiée (CSPN) par l'ANSSI pour son haut niveau de sécurité et répond aux exigences requises par ces référentiels

D'ici 2018, plus de 60 % des menaces internes et des vols de données dans les

entreprises seront dus à une mauvaise gestion des accès à forts privilèges.

Protéger les systèmesProtéger logiquement ses systèmes d'information

• Contrôler l’application de la politique des mots de passe et renouveler les mots de passe des comptes les plus privilégiés

• Mise en œuvre d’une authentification forte avec SecurID est un système de token, ou authentifieur, produit par la société RSA Security


Protéger les systèmes Renforcer la

protection contre les intrusions dans les

systèmes d'information

Mise en œuvre d’un Plan de Reprise d’Activité et Plan de Continuité d’Activité

La sécurité et la qualité de service de l’académie deVersailles assurées par deux datacenters et deuxtechnologies innovantesun Plan de Reprise d’Activité est engagé avecl’académie de Paris


Protéger les systèmes Renforcer la protection contre les intrusions dans les systèmes d'information

• d’augmenter la fréquence, la criticité et la taille de sauvegarde de la journalisation pour les systèmes vitaux.

• mettre en place une sauvegarde régulière de toutes les données critiques. Elever la fréquence de sauvegarde à un niveau permettant la reprise des activités en cas d’altération des données.


Il n'y a pas de liberté sans sécurité,sans sécurité, il n’y a pas de confiance, et sans confiance il n’y a pas de développement


comment assurer la confiance numérique à l’education...

Documents